利用Filter禁止直接访问JSP

最新推荐文章于 2023-12-12 16:10:22 发布
最新推荐文章于 2023-12-12 16:10:22 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/musa875643dn/article/details/45567525
本文介绍Struts框架的基本应用,包括如何通过配置文件实现视图和模型的映射,以及如何通过自定义Filter拦截直接访问JSP页面的请求,并将其重定向到指定的Action。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



一.应用Struts

Struts作为一种Web MVC框架,将视图展示和处理逻辑分离,降低耦合性,允许更改界面视图而不用重新编译逻辑部分,同样由于业务需求的改变需要调整逻辑结构而不用修改视图部分。由于灵活的配置,简单可操作性,在业界得到广泛的应用。用户通过配置Struts.xml文件,轻易建立视图和模型的映射关系。

Exmaple:

<package name=”Student” namespace=”/Student” extends=” struts-default”>
    <action name=”add” class=”com.struts.action.Student” method=”add”>
        <result>/Student_Add.jsp</result>
    </action>
    <action name=”add_test” class=”com.struts.action.Student” method=”add”>
	<result>/Student_Add.jsp</result>
    </action>
</package>

Struts.xml配置文件中作出如上配置,用户在浏览器地址栏中输入http://xxx/Student/add时,实际上就是访问Student_Add.jsp,而访问http://xxx/Student/add_test  时实际也是访问Student_Add.jsp,执行的业务逻辑是com.struts.action.student类中的add方法。

二.访问JSP

在应用Struts框架的程序中通常是通过Action来访问资源,但是直接访问jsp也是可行的。Struts提供了许多Web元素来提高开发者的效率。在直接访问包含Struts Web元素的jsp页面时通常会引入异常,比如OGNL异常。有时出于安全性考虑,也会禁止用户直接访问jsp页面。

禁用用户直接访问jsp的方式有几种,既然项目使用Struts,我们应当采用和Struts一致的方式来实现。

三.Filter过滤JSP

我们知道Struts就是基于Filter来过滤拦截客户端request的,同样我们可以自定义Filter来实现特殊过滤,比如说过滤jsp请求。其语法格式如下:

Filter定义,包括名字和实际处理类。

<filter>
    <filter-name>URLfilter</filter-name>
    <filter-class>com.struts.filter.MyURLFilter</filter-class>
</filter>

Filter 过滤定义,包括名字和拦截的模式匹配<也可以是Servlet name>

<filter-mapping>
    <filter-name>URLfilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

Filter和其出于Web.xml的顺序是有关的,filter定义必须位于filter-mapping的前面,在多个url-pattern匹配的情况下,按照filter-mapping出现的先后顺序依次使用filter进行处理。因此拦截jspfilter应当位于Struts filter前面。

下面来看filter处理类。

package com.struts.filter;
import java.io.IOException;    
import javax.servlet.Filter;  
import javax.servlet.FilterChain;    
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse; 
  
public class MyURLFilter implements Filter{
    public void destroy() {			
    }

    public void doFilter(ServletRequest req, ServletResponse res,
	FilterChain filterchan) throws IOException, ServletException {
        System.out.println("My filter begin to ");
	HttpServletRequest httpReq =(HttpServletRequest)req;
        //转换成HttpServletRequest,以获取包含的地址信息,请求的参数,提交的数据
	String Url = httpReq.getRequestURI();
	if(Url.endsWith(".jsp")){ //判断URL以jsp结尾
	    System.out.println(".jsp was filtered!");
	    HttpServletResponse httpRes =(HttpServletResponse)res;
	    System.out.println(httpReq.getContextPath());			
            httpRes.sendRedirect(httpReq.getContextPath()+"/Student/add/");
	    //重定向到某个action
	    return;
	}else{
	    filterchan.doFilter(req, res);
	}	
    }

    public void init(FilterConfig arg0) throws ServletException {
	System.out.println("Myfilter init!");		
    }
}

这样,所有对jsp的直接请求都会被拦截并重定向到某个action,通过actionjsp的映射来访问相应的jsphtml资源。



JavaWeb之利用Filter实现权限拦截小实战【过滤器】
一键难忘的博客
09-04 2201
4.在web目录下新建sys文件,里新建error和success文件,分别对应登录成功,和登录失败的提示语句。1.新建类servletLogin,继承类Httpservlet,重写方法doGet和doPost。2.写注销方法,新建类servletlogout,继承类HttpServlet,重写doGet方法“2.重写其三个方法:创建和销毁不看,看中间的doFilter方法。5.启动服务器,重新访问2.2发现的BUG,发现BUG被解决!判断username的值,进行处理,重定向到不同的页面。
Web站点越权访问情况及处理方式汇总
tooler的博客
10-14 1万+
最近安全测评,遇到Web站点越权访问的事情,平时开发都没太在意,现在通过项目测评才意识到问题的严重性;通过网上查询汇总梳理如下,供大家参考,主要有以下几种情况,分别对应不同的处理模式;文章描述主要针对Java语言,其他语言也应该类似。 1. 没有用户登录,就可以直接访问系统页面; 处理方式有两种: a)系统页面不多,直接在Web站点过滤器filter中增加session判断,需要在登录后sess...
Servlet学习三:不允许直接访问jsp处理方式一过滤器
zy19982004的专栏
12-27 569
.续上文      不允许直接访问jsp处理方式一WEB-INF 介绍了WEB-INF来处理直接访问jsp,本文介绍过滤器来处理直接访问jsp。     二.直接上代码 &lt;filter&gt; &lt;filter-name&gt;jspFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.cb.cbms.c...
解决用户绕过Servlet直接访问jsp页面
iteye_709的博客
08-04 409
解决用户绕过ActionServlet,直接访问jsp文件的问题 1、将所有jsp文件拷贝到WEB-INF目录下 因为WEB-INF目录中的内容不能直接访问,但能转发过来 项目结构图如下: 2、修改struts.xml 注释: &lt;action name="nameform"&gt;中只有name属性,没有class属性, Struts框架会默认为该&lt;ac...
韩顺平-过滤器(filter)及使用过滤器拦截用户不登陆直接访问资源
最新发布
weixin_74484843的博客
12-12 694
1.Filter过滤器是JavaWeb三大组件之一(Servlet程序、Listener监听器、Filter过滤器)2.Filter过滤器是JavaEE的规范,是接口3.Filter过滤器的作用是:拦截请求、过滤响应4.应用场景权限检查日志操作事物管理等。
struts2 jsp 禁止 直接 访问
任香980101
10-13 411
想要禁止 struts2 应用中  部分jsp  的 直接访问   简单的做法是放到WEB-INF 下    然后   &lt;result name="success"&gt;/WEB-INF/jsp/LoginSuccess.jsp&lt;/result&gt;   这里注意几点 1.  return type 只能 forward, 不能redirect 2.  WEB-...
Servlet过滤器——禁止未授权的IP访问站点
kt1776133839的博客
09-21 691
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
url重写和禁止某个用户访问jsp
09-12
JSP中,我们可以通过Session对象来跟踪已登录用户,一旦发现某个用户需要被限制,我们可以在Filter中检查Session状态,如果该用户被标记为禁止访问,则返回403 Forbidden错误。 封杀用户可能基于多种原因,比如...
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
JSP系统漏洞记录
samile的专栏
08-13 3208
之前维护公司的一个很老的CRM系统,大概是十年前开发的一套系统,由于系统中的功能设计到的业务很重要,所以客户一直在使用,但是老系统又避免不了安全问题,为了防止系统资料泄露,客户对CRM系统进行了一次安全漏洞扫描。结果只扫出了3个漏洞,这个结果着实很令人惊讶,因为十年前开发的系统到技术更新换代飞速发展的今天,只有3个,真的很不错……            这3个漏洞大概是这样的:    
防止用户直接输入地址访问jsp文件
08-09
网站可以由多个动态页面组成,并且每一个动态页面直接都存在着联系。为了保证网站内信息资源的安全,程序员应禁止浏览者不通过登录页面而强行进入其他页面进行浏览。
Filter-url拦截
qq_37143903的博客
06-03 868
Filter Filter是什么? 1. javaweb的一个重要组件,可以对发送到servlet的请求进行拦截,并对响应也进行拦截 2. Filter 是实现Filter 接口的java类 3. Filter 需要在web.xml中进行配置和映射 如何创建一个Filter,并把它跑起来 `public class MyFilter implements Filter {` web.xml `<filter> <filter-name>别名</filter-name&
如何用过滤器拦截未登录直接访问资源页面
xiaozhuzhuyang的博客
01-28 1878
如何用cookie和过滤器拦截未登录直接访问资源页面
struts 2拦截jsp请求
weite27的专栏
06-20 1868
要写一个过滤器,配置在web.xml文件中。该过滤器是和FilterDispatcher平级的,FilterDispatcher是struts 2框架的总入口。 1. 过滤器代码 package tmq.interceptor; import java.io.IOException; import javax.servlet.Filter; import javax.servle
防止用户直接访问url的权限控制(使用过滤器)
xiantingxinbuone的专栏
08-18 6566
这是个过滤器的内容, [java] public void doFilter(ServletRequest request, ServletResponse response,              FilterChain chain) throws IOException, ServletException {          HttpServletRequest req
如何防止通过URL地址栏直接访问页面
weixin_30954607的博客
04-24 4780
如何防止通过URL地址栏直接访问页面 一、解决方案 1,将所有页面放在WEB-INF目录下   WEB-INF是Java的web应用安全目录,只对服务端开放,对客户端是不可见的。所以我们可以把除首页(index.jsp)以外的页面都放在WEB-INF目录下,这样就无法通过URL直接访问页面了。 2,http请求头字段中的referer值   根据HTTP协议,在HTTP头中有一个字段叫...
javaweb中添加过滤器,限制访问某些页面
◇″淡定。
10-25 5781
问题: 在javaweb开发中,
使用Filter过滤ip禁止访问系统
热门推荐
永恒の_☆
08-07 1万+
在实际应用中,部署的项目如果收到恶意攻击,那么就需要将收到请求的ip过滤掉,现在以Filter过滤器为例讲解实现方式。     1、自定义Filter过滤器,继承自javax.servlet.Filter 这个接口,实现它里面的三个方法;     2、在init() 方法中接收配置的禁止访问的ip,以逗号分隔;     3、在doFilter() 中进行业务处理,取出当前访问的ip 与系统中
关于Struts2的拦截jsp的一些了解
xwgj2012的博客
02-17 1651
这几天在做一个小项目,想要实现在未登录的时候无法访问除登录页面的其他页面。但是Struts2的拦截器配置只能拦截action,无法拦截jsp或者html页面,我们当然可以通过写一个filter来实现拦截,但是Struts2的机制中有这样的一点。就是在WEB-INF下的文件是无法直接访问的,所以我们可以把这些文件放到WEB-INF下,然后通过action的result返回配置返回页面。然后在acti
JSP+Servlet+Filter+JavaBean权限登录实践
通过理解这些基本概念和实现步骤,开发者可以利用JSP、Servlet、Filter和JavaBean来构建一个具有权限控制功能的Web应用程序。这种结构不仅有助于维护代码的可读性和可扩展性,而且有助于分离关注点,使得各个组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值