隐藏jsp资源

最新推荐文章于 2022-10-07 12:24:58 发布
最新推荐文章于 2022-10-07 12:24:58 发布
阅读量339 收藏
点赞数
分类专栏: Java基础 文章标签: JSP Web Servlet Access 浏览器
本文介绍如何防止JSP页面被直接访问的方法,包括将JSP放置于WEB-INF目录下、使用过滤器重定向以及通过web.xml配置限制访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

所有的访问请求都应该发送到servlet,并通过servlet间接的访问jsp。jsp页面不应该允许直接访问。有几种方法可以保护jsp页面不会被直接访问到。
1,把jsp页面放到WEB-INF目录下,这样一来,即使用户通过浏览器直接输入把些jsp页面的URL地址也无法访问到它们。但是该方法在不同服务器中有不同的效果。
2,用过滤器保护那些没有存放在WEB-INF目录里的JSP页面。只要把以.jsp结尾的URL全部重定向到用户页面去就行了。

3,通过web.xml文件里的security-constraint元素把所有的JSP页面者保护起来,只允许那些是特定的合法角色的用户访问它们。
<security-constraint>
	<web-resource-collection>
		<web-resource-name>Direct Access to Jsps</web-resource-name>
		<url-pattern>*.jsp</url-pattern>
	</web-resource-collection>
	<auth-constraint>
		<role-name>none</role-name>
	</auth-constraint>
</security-constraint>


以上代码不允许任何直接访问JSP页面。只有none角色的用户才能访问以.jsp结尾的URL,也就是说,如果没有一个用户是这个角色,那就没人能够直接访问这些JSP页面。

也可以定义多个目录
<security-constraint>
	<web-resource-collection>
		<web-resource-name>Direct Access to Jsps</web-resource-name>
		<url-pattern>/demo0/*</url-pattern>
		<url-pattern>/demo1/*</url-pattern>
		<url-pattern>/demo2/*</url-pattern>
		<url-pattern>/demo3/*</url-pattern>
	</web-resource-collection>
	<auth-constraint/>
</security-constraint>

*<auth-constraint/>表示没有用户可以访问
Java利用Filter实现隐藏jsp真实路径
qq_43439125的博客
08-07 692
初学java,发现只要在浏览器链接直接打上jsp的路径就可以跳转到对应的jsp页面,但这样子别人就很容易获取我们的项目结构,也很容易攻击我们的那个jsp; 实现效果:直接跳转jsp页面返回404页面,只能通过servlet的方法来转发到jsp,这样就可以在链接上看到的是方法的路径,而jsp的路径。 步骤:1、实现Filter类,过滤所有servlet的请求,给请求加一个标识参数 p...
jsp访问url路径隐藏
haha57的博客
07-14 5771
最近在研究隐藏url路径,上网借鉴了别人的方法,使用urlrewritefilter-4.0.3.jar,urlrewritefilter的原理使用的是java的过滤器Filter。具体配置方法如下: 1.引入jar包 jar包链接https://download.youkuaiyun.com/download/u012995995/10543568 2.配置web.xml文件 &lt;!-- ur...
JSP页面隐藏后面的JSP
悠远的博客
05-17 370
<servlet> <servlet-name>dd</servlet-name> <jsp-file>/WEB-INF/dd.jsp</jsp-file> </servlet> <servlet-mapping> <servlet-name>dd</servlet-name> <url-pattern>/index</url-pattern> <.
JSP 隐藏技巧大公开
zhangxin09的专栏
10-07 1216
发觉时隔那么多年,我还是很喜欢 JSP,——初恋的感觉!今天就让我为大家介绍鲜为人知的 JSP 编码秘密!
java web jsp 隐藏div(附源码)
01-05
还在为网页中无法控制div的显隐发愁吗,看见这个资源算是你柳暗花明的时刻来了,详解了在页面中怎样隐藏div 让div在你的页面中随心所欲/
解决用户绕过Servlet直接访问jsp页面
iteye_709的博客
08-04 409
解决用户绕过ActionServlet,直接访问jsp文件的问题 1、将所有jsp文件拷贝到WEB-INF目录下 因为WEB-INF目录中的内容能直接访问,但能转发过来 项目结构图如下: 2、修改struts.xml 注释: &lt;action name="nameform"&gt;中只有name属性,没有class属性, Struts框架会默认为该&lt;ac...
web应用安全jsp保护,能直接外露出来给客户知道。
mengtianqq的博客
06-04 728
web应用安全jsp保护,能直接外露出来给客户知道。让客户直接看到访问jsp页面。这样就可以保护jsp安全。1、原理:      基于Servlet的声明,WEB-INF作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却能直接请求访问JSP。所有要使系统去访问的话就需要使用拦截...
如何防止通过URL地址栏直接访问页面
weixin_30954607的博客
04-24 4785
如何防止通过URL地址栏直接访问页面 一、解决方案 1,将所有页面放在WEB-INF目录下   WEB-INF是Java的web应用安全目录,只对服务端开放,对客户端是可见的。所以我们可以把除首页(index.jsp)以外的页面都放在WEB-INF目录下,这样就无法通过URL直接访问页面了。 2,http请求头字段中的referer值   根据HTTP协议,在HTTP头中有一个字段叫...
WEB-INF目录防止通过URL直接访问
https://blog.youkuaiyun.com/sinat_36710456
11-06 6394
 WEB-INF是Java的web应用安全目录,只对服务端开放,对客户端是可见的。所以我们可以把除首页(index.jsp)以外的页面都放在WEB-INF目录下,这样就无法通过URL直接访问页面了。web-inf目录是对外开放的,外部没办法直接访问到(即能通过URL访问)。所有只能通过映射来访问,比如映射为一个action或者servlet通过服务器端跳转来访问到具体的页面。这样可以限制访问...
jsp中实现参数隐藏的两种方法
Macroli
10-07 5552
在一个JSP页面有一个链接,//确定是一个链接?点击弹出一个页面,需要传给这个页面一些参数。//正常的方法是设置弹出页面的src="***.do?p1=aaa&p2=bbb&p3=ccc"//确定目标URL是Action来处理?但是这样会在页面上看到传过来的参数,可能会安全。要求实现src="***.do",参数通过其他方法传!//////////////////////////////////
jsp页面的隐藏对象及方法
qq_35486654的博客
07-26 1865
一 out输出流对象 javax.servlet.jsp.JspWriter类的实例 服务器向客户端输入的字符类内容可以通过out对象输出 1. void append(CharSequence cs)   向out缓存中扩展字符类输出.当缓存满或者执行out.flush()操作室这些内容会输出到客户端浏览器 2. void clear() 清空要输出的内容 3. voi
jsp+servlet实现隐藏目标超链接地址方案
lydia3033的专栏
05-27 1245
【1】HTML文档邮箱【2】web.xml文档163163wangxingda516.Servlet1163/Servlet1【3】java文档package wangxingda516; import java.io.IOException;import java.io.InputStream;import java.io.OutputStream;import java.net.Htt
Servletjsp浏览器页面显示空白
AshlingCD
11-05 7153
/servlet/helloworldServlet" method="post"> 想要在浏览器上输出文字,但是浏览器和后端却显示空白,原来是没有提交表单 修改之后,就可以在浏览器上输出相应的内容 /servlet/helloworldServlet" method="post">
Servlet】如何隐藏.jsp后缀或是更改后缀名
热门推荐
Smileyan's blog
05-22 1万+
【需求描述】    因为某些原因,我们讨厌看到.jsp的结尾作为一个网页的后缀名。当然,我们同样希望看到.html,我们希望简洁好记,比如说,如果是hello.jsp或者hello.html我们只需要显示hello就好了。       这个就类似于struts2框架中所有的action默认是.action后缀,我们通过修改配置文件 struts.xml可以修改为没有后缀或者是其他任何后缀,比如说...
浏览器能直接访问WEB-INF目录的jsp文件页面
weixin_43981813的博客
01-11 1696
首先读者要明白:你的jsp页面为什么要放在web-inf目录下,web-inf目录下的文件是隐藏的。为了避免浏览器通过地址栏直接访问jsp页面,所以需要把相应的jsp页面隐藏web-inf下。 开始访问:通过controller访问,如图: 这里我是查看这篇博客解决的: https://blog.youkuaiyun.com/joe_storm/article/details/78820445 ...
jsp九大隐藏对象
weixin_34360651的博客
05-06 198
2019独角兽企业重金招聘Python工程师标准>>> ...
jsp 隐藏真实URL 地址(转)
fengfan2006的专栏
05-07 1273
转自:http://www.blogjava.net/sunbreak/archive/2008/12/19/105549.html 访问某论坛时,发现论坛全是html页面。今天搞明白了,原来是重写了页面的url。通俗的说就是虽然地址栏里的是html结尾的url,但实际上访问的是后台动态jsp(php、asp)页面。好像是一种视觉欺骗。 实现这个技术也很容易,一般都会使用国外...
Java Web 的 Security Constraint 配置
weixin_33728708的博客
07-28 157
&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,但可以被单独使用。如果没有 &lt;auth-cons...
掌握ServletJSP:源码资源压缩包解析
JSP文件中,常常使用隐藏Servlet来处理业务逻辑。 3. JSP标签库:JSP标签库提供了预定义的标签,可以用于访问数据库、处理表单数据、创建自定义标签等。标签库分为标准标签库(JSTL)和自定义标签库两大类。 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值