Java WEB安全问题及解决方案

转载于 2013-04-27 08:59:00 发布 · 45 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/yuanq_20/articles/3046252.html

文章标签：

#java #web安全

本文介绍了解决合法用户注销后通过浏览器后退按钮读取本地缓存数据的问题，提供了一种禁用页面缓存的方法，并讨论了JavaWEB容器如TOMCAT的默认配置漏洞及相应的解决方案。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

合法用户“注销”后，在未关闭浏览器的情况下，点击浏览器“后退”按钮，可从本地页面缓存中读取数据，绕过了服务端filter过滤。

解决方案：配置filter对存放敏感信息的页面限制页面缓存。如：

httpResponse.setHeader("Cache-Control","no-cache");
httpResponse.setHeader("Cache-Control","no-store");
httpResponse.setDateHeader("Expires", 0);
httpResponse.setHeader("Pragma","no-cache");

8.Java WEB容器默认配置漏洞。如TOMCAT后台管理漏洞，默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案：最好删除，如需要使用它来管理维护，可更改其默认路径，口令及密码。

转载于:https://www.cnblogs.com/yuanq_20/articles/3046252.html