web.xml文件dtd2.3说明

最新推荐文章于 2023-03-19 00:55:27 发布

liuwenbo7514

最新推荐文章于 2023-03-19 00:55:27 发布

阅读量1.3k

点赞数 1

分类专栏： J2EE 文章标签： servlet 服务器 authorization basic jsp bean

本文链接：https://blog.youkuaiyun.com/liuwenbo7514/article/details/4482478

版权

本文详细介绍了web.xml 2.3 DTD的元素和用法，包括图标、显示名、监听器、servlet、会话配置、安全性配置等。重点讲解了如何通过login-config指定验证方法，如BASIC、FORM和CLIENT-CERT，以及如何使用security-constraint限制对Web资源的访问。同时，文章还提到了会话超时控制、MIME类型映射和关联文件的方法。通过对web.xml的配置，开发者可以实现Web应用的安全性和定制化功能。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">

<!ELEMENT web-app (icon?, display-name?, description?, distributable?,
context-param*, filter*, filter-mapping*, listener*, servlet*,
servlet-mapping*, session-config?, mime-mapping*, welcome-file-list?,
error-page*, taglib*, resource-env-ref*, resource-ref*, security-constraint*,
login-config?, security-role*, env-entry*, ejb-ref*, ejb-local-ref*)>

符号说明：

无符号：在父元素中必须且只能存在一次；

+ ：在父元素中必须存在，可以存在一至多次；

* ：在父元素中可以不存在，或者存在一次或多次。

？：在父元素中可以不存在或只存在一次。

其中：

icon的DTD为：

<!ELEMENT icon (small-icon?, large-icon?)>

<!ELEMENT large-icon (#PCDATA)>
display-name的DTD为：

liistener的DTD为：

<!ELEMENT listener (listener-class)>

<!ELEMENT listener-class (#PCDATA)>

<!ELEMENT servlet (icon?, servlet-name, display-name?, description?,
(servlet-class|jsp-file), init-param*, load-on-startup?, run-as?, security-role-ref*)>

<!ELEMENT session-config (session-timeout?)>

<!ELEMENT taglib (taglib-uri, taglib-location)>

-----------------------------------------------

9 提供安全性

利用web.xml中的相关元素为服务器的内建功能提供安全性。
9.1 指定验证的方法
使用login-confgi元素规定服务器应该怎样验证试图访问受保护页面的用户。它包含三个可能的子元素，分别是：auth-method、realm-name和form-login-config。login-config元素应该出现在web.xml部署描述符文件的结尾附近，紧跟在security-constraint元素之后。
l auth-method
login-config的这个子元素列出服务器将要使用的特定验证机制。有效值为BASIC、DIGEST、FORM和CLIENT-CERT。服务器只需要支持BASIC和FORM。
BASIC指出应该使用标准的HTTP验证，在此验证中服务器检查Authorization头。如果缺少这个头则返回一个401状态代码和一个WWW-Authenticate头。这导致客户机弹出一个用来填写Authorization头的对话框。此机制很少或不提供对攻击者的防范，这些攻击者在Internet连接上进行窥探（如通过在客户机的子网上执行一个信息包探测装置），因为用户名和口令是用简单的可逆base64编码发送的，他们很容易得手。所有兼容的服务器都需要支持BASIC验证。
DIGEST指出客户机应该利用加密Digest Authentication形式传输用户名和口令。这提供了比BASIC验证更高的防范网络截取得的安全性，但这种加密比SSL（HTTPS）所用的方法更容易破解。不过，此结论有时没有意义，因为当前很少有浏览器支持Digest Authentication，所以servlet容器不需要支持它。
FORM指出服务器应该检查保留的会话cookie并且把不具有它的用户重定向到一个指定的登陆页。此登陆页应该包含一个收集用户名和口令的常规HTML表单。在登陆之后，利用保留会话级的cookie跟踪用户。虽然很复杂，但FORM验证防范网络窥探并不比BASIC验证更安全，如果有必要可以在顶层安排诸如SSL或网络层安全（如IPSEC或VPN）等额外的保护。所有兼容的服务器都需要支持FORM验证。
CLIENT-CERT规定服务器必须使用HTTPS（SSL之上的HTTP）并利用用户的公开密钥证书（Pulic Key Certificat）对用户进行验证。这提供了防范网络截取的很强的安全性，但只有兼容J2EE的服务器需要支持它。
l realm-name
此元素只在auth-method为BASIC时使用。它指出浏览器在相应对话框标题使用的、并作为Authorization头组成部分的安全域的名称。
l form-login-config
此元素只在auth-method为FORM时适用。它指定两个页面，分别是：包含收集用户名及口令的HTML表单的页面（利用form-login-page子元素），用来指示验证失败的页面（利用form-error-page子元素）。由form-login-page给出的HTML表单必须具有一个j_security_check的ACTION属性、一个名为j_username的用户

最低0.47元/天解锁文章