jsp

小朋 2006-10-12

展開全文

把JSP放到WEB-INF后以保護JSP源代碼
　　
　　為了更好地保護你的JSP避免未經(jīng)授權(quán)的訪問和窺視，一個好辦法是將頁面文件存放在Web應用的WEB-INF目錄下。
　　
　　通常JSP開發(fā)人員會把他們的頁面文件存放在Web應用相應的子目錄下。一個典型的商店應用程序的目錄結(jié)構(gòu)如圖2所示。跟catalog （商品目錄）相關(guān)的JSP被保存在catalog子目錄下。跟customer相關(guān)的JSP，跟訂單相關(guān)的JSP等都按照這種方法存放。
　　
　　　

　　
　　這種方法的問題是這些頁面文件容易被偷看到源代碼，或被直接調(diào)用。某些場合下這可能不是個大問題，可是在特定情形中卻可能構(gòu)成安全隱患。用戶可以繞過Struts的controller直接調(diào)用JSP同樣也是個問題。
　　為了減少風險，可以把這些頁面文件移到WEB-INF 目錄下。基于Servlet的聲明，WEB-INF不作為Web應用的公共文檔樹的一部分。因此，WEB-INF 目錄下的資源不是為客戶直接服務的。我們?nèi)匀豢梢允褂肳EB-INF目錄下的JSP頁面來提供視圖給客戶，客戶卻不能直接請求訪問JSP。
　　
　　采用前面的例子，圖3顯示將JSP頁面移到WEB-INF 目錄下后的目錄結(jié)構(gòu)
　　
　　
　　

　　
　　
　　
　　
　　
　　如果把這些JSP頁面文件移到WEB-INF 目錄下，在調(diào)用頁面的時候就必須把WEB-INF添加到URL中。例如，在一個Struts配置文件中為一個logoff action寫一個Action mapping。其中JSP的路徑必須以WEB-INF開頭。如下所示：請注意粗體部分.
　　
　　這個方法在任何情況下都不失為Struts實踐中的一個好方法。是唯一要注意的技巧是你必須把JSP和一個Struts action聯(lián)系起來。即使該Action只是一個很基本的很簡單JSP，也總是要調(diào)用一個Action，再由它調(diào)用JSP。
　　
　　最后要說明的是，并不是所有的容器都能支持這個特性。WebLogic早期的版本不能解釋Servlet聲明，因此無法提供支持，據(jù)報道在新版本中已經(jīng)改進了?？傊褂弥跋葯z查一下你的Servlet容器。