Tomcat 7/8 不支持 Invoker Servlet 的解决方法

最新推荐文章于 2024-08-29 19:22:50 发布
最新推荐文章于 2024-08-29 19:22:50 发布
阅读量429 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java web.xml
原文链接:https://my.oschina.net/acmfly/blog/311385
本文详细解析了Tomcat7以前版本中InvokerServlet带来的安全风险,包括类名直接暴露、配置信息缺失导致的混乱、后门危险和第三方类库引发的问题。并介绍了使用web.xml配置和Servlet3.0标准下的注解方式来解决这些问题,提供了具体示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

在Tomcat 7以前的版本中使用Invoker Servlet提供的映射机制带来的安全问题包括:

1、应用的类名直接暴露在路径中,这是显而易见的安全问题。

2、缺乏配置信息造成类调用的混乱。在有同名类的时候,服务器无法确定调用这个类还是那个类。而在web.xml中每个应用都有明确的描述和路径映射,对应用的运行有明确的线路,且更有利于应用的维护。

3、存在后门的危险。一个被映射在不同路径的类有可能利用Invoker机制通过类名被访问到,这样就绕过了系统的安全机制。

4、还是存在后门的危险。应用中经常会在公共领域使用第三方类库,如果这个第三方类库中包含有漏洞,那么它就有可能通过Invoker机制被激活。

Tomcat 7实现的Servlet 3.0标准不再支持这个Invoker Servlet类,貌似给应用的原型开发阶段带来不便,但新标准引入了更加便捷和安全的解决方法:

一、使用应用描述文件web.xml描述你的应用。

为每个一个类,在web.xml中添加描述信息,虽然这是一个繁琐的过程,尤其对于开发阶段来说,但这是最安全和规范的做法。例如一个简单的测试应用HelloServlet,其部分源码如下: 

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;

public class HelloServlet extends HttpServlet {

    /* snip... */

}



我们可以在web.xml中为其进行如下配置,使其地址映射在/sayHello 

<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0"
metadata-complete="false" >

<display-name>Test Servlet</display-name>
<description>
Test Servlet
</description>

<servlet>
<servlet-name>HelloServlet</servlet-name>
<servlet-class>HelloServlet</servlet-class>
</servlet>

<servlet-mapping>
<servlet-name>HelloServlet</servlet-name>
<url-pattern>/sayHello</url-pattern>
</servlet-mapping>

</web-app>



二、在应用的源码中使用注解进行应用的自描述。

Tomcat 7实现的Servlet 3.0标准引入一个新的特性,叫annotaion,这里且称为注解,它包括有多种注解,具体可参见官方的文档,其中有一个注解@WebServlet。在主类的声明前插入这个注解可以实现对当前类的配置,服务器会根据这个信息正确调用当前类。这样就省去了配置web.xml,极大得方便了开发阶段应用的配置过程。@WebServlet有很多选项可以进行应用配置,最简单的例子就是给出路径映射@WebServlet(“/path”),更复杂的情况是给出应用名,甚至为一个应用给出多个替代路径@WebServlet(name=”TestServlet”, urlPatterns={“/path”, “/alt”})。

同样为上面的简单测试例子,只把类名改为HelloServletAgain,这次用注解实现应用配置,并映射了两个地址,而web.xml不需要进行任何配置。注意两点:一是要引入包javax.servlet.annotation.*,二是web.xml中web-app项的metadata-complete属性必须设为false。部分源码如下: 

import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.annotation.*;

/** Simple servlet used to test server. **/

@WebServlet(name=”HelloServletAgain”, urlPatterns={“/sayHello”, “/sayHelloAlt”})
public class HelloServletAgain extends HttpServlet {

    /* snip... */

}

通过访问/sayHello或/sayHelloAlt,就可以访问这个应用。

转载于:https://my.oschina.net/acmfly/blog/311385

Tomcat如何运行没有做mapping的servlet
bjhdy的专栏
11-24 2983
Tomcat如何运行没有做mapping的servlet var $tag=tomcat,servlet,invoker,it; var $tag_code=1fb9e27ac202008150027f3a1b176991;    Tomcat6有一个类org.apach
tomcat InvokerServlet 使用
Done
10-28 268
java.lang.SecurityException: Servlet of class org.apache.catalina.servlets.InvokerServlet is privileged and cannot be loaded by this web application 解决之道:   tomcat  conf/web.xml中 &lt;!-- InvokerSer...
Tomcatinvoker使用总结
e度空间
02-28 305
Tomcatinvoker使用总结 invoker为方便servlet的开发与调试开启了一道大门,免去了开发一个servlet就要在web.xml文件中添加相应配置信息的麻烦。以下是位于$TOMCAT_HOME/conf/web.xml文件中对于invoker的说明: &lt;!-- The "invoker" servlet, which execut...
Tomcat中的invoker
山顶冻人的专栏
10-25 1720
FROM:http://www.darkmi.com/blog/archives/878 invoker为方便servlet的开发与调试开启了一道大门,免去了开发一个servlet就要在web.xml文件中添加相应配置信息的麻烦。以下是位于$TOMCAT_HOME/conf/web.xml文件中对于invoker的说明:
Web Application的invoker servlet
chh_jiang的专栏
02-04 263
Web Application Server提供了一种默认的访问servlet的方式,即通过http://myWebApp/mypackage.MyServlet的方式直接访问,而不需要定义&lt;servlet/&gt;和&lt;servlet-mapping/&gt;,这个功能称为invoker servlet,但是现在的App Server一般都默认禁用了这个功能,比如Tomcat在conf...
类HelloServlet不是Servlet
weixin_50882278的博客
07-31 6286
原因:Tomacat 10 之后servlet依赖包名不是 javax.servlet,而是jakarta.servlet 解决办法: 1 . 重新安装Tomcat 9 (建议初学者,记住。。。最新的不一定是最好的) 2.tomcat10把 javax.servlet 都改为了jakarta.servle(这个方法我用了,只会报错,可能是只是改 了包名,但其实仓库没有这个包)*不可行* 3.最后想到的是改为最新的dependency,这样javax就会自己变为jakarta。所以还...
Servlet-Invoker配置与Tomcat服务器详解
本教程将深入讲解如何配置servlet-invoker-servlet,以便在不需单独配置servlet映射的情况下访问servlet程序。首先,我们来了解一些基本的背景知识。 **常用的Web服务器** Web服务器如IIS (Internet Information ...
Tomcat 中运行 Servlet 报告 resource is unavailable 的解决方法
I SEE STARS
09-26 1851
使用 Tomcat 运行 servlet 时,有可能会报告 HTTP 404 错误,错误描述中写道 resource …/TestServlet isnot available。这个时候,可能需要编辑位于 TOMCAT_HOME/conf 中的 web.xml 文件。在 Eclipse 中,我们首先将该文件链接到当前项目的目录中。打开 web.xml,找到如下内容:              
JFreeChart在JSP(tomcat)中的一些问题(图片不显示)好资源0分送
04-16
这一步骤的目的是让所有以"/servlet/*"开头的URL请求都被invoker捕获并处理。 - **效果**:虽然理论上这种修改可以解决问题,但在实际操作中可能会导致Tomcat启动失败,因此不是一个稳定的解决方案。 4. **位置...
Tomcat升级及问题解决指南
解决方法是将`spring-instrument-tomcat`包添加到Tomcat的lib目录,但这并不符合标准化原则。更好的做法是找到项目中依赖这个类的地方并进行重构,避免直接使用Tomcat的类加载器。 5. AspectJ相关异常:异常关键字`...
TongWeb支持InvokerServlet
web的博客
11-10 458
InvokerServlet功能早在tomcat7之后已经废除,但由于很多老应用依旧采用而且不想改造,所以TongWeb也增加了该功能。 TongWeb6、TongWeb7 默认不开启InvokerServlet,需在conf/default-web.xml中增加如下servlet打开InvokerServlet功能。 <servlet> <servlet-name>invoker</servlet-name> <!-- TongWe......
JavaWeb-错误:类xxx不是Servlet
JChan.的博客
04-10 2809
出现这个的原因是Tomcat10以上的版本要使用新版jar包 解决方案: 1.更换Tomcat10以下的版本 Apache Tomcat® - Apache Tomcat 9 Software Downloads 2.更换Tomcat10对于jar包,选择对应Tomcat版本号的jar包下载 https://mvnrepository.com/artifact/org.apache.tomcat/tomcat-servlet-api tomcat10之后servlet依赖包名不是javax...
Servlettomcat部署
qq_51700372的博客
04-20 550
servlet本质 本质上是java代码,和以前写的java代码有些许的不同: 1.实现了特殊的接口、或继承了特殊的java类 2.servlet不能由程序员去执行,由支持servletweb服务器运行 3.一个Servlet负责对应的一个或一组URL访问请求,并返回相应的响应内容。
Servlet配置中servlet-mapping的配置问题
热门推荐
wanhongbo029的博客
01-02 5万+
Java Servlet Specification 3.1 https://jcp.org/aboutJava/communityprocess/final/jsr340/index.html 专门使用一章的内容讲请求和Servlet之间的映射,下面将翻译该章的内容。 将请求映射到对应的Servlet 本章主要描述web容器怎样将客户端请求映射到对应的Servlet上。 12.1关于U...
Maven运行web时,出现jakarta.servlet.ServletException: 类Servlet不是Servlet的问题
weixin_44322375的博客
03-09 1万+
Maven运行web时,出现jakarta.servlet.ServletException: 类Servlet不是Servlet的问题 记录一下,在运行的时候,发现**jakarta.servlet.ServletException: 类ser.Servlet不是Servlet。 发现tomcat10之后不是javax.servlet了而是jakarta.servlet,所以Web的依赖应该换成下面的这两个,换了之后就对了。 <!--jsp的依赖--> <dependency&g
记Spring HTTP Invoker远程调用的使用(二)基于Servlet方式,配置servlet映射url-pattern实现
最新发布
u011529483的博客
08-29 1070
记Spring HTTP Invoker远程调用的使用(二)基于Servlet方式,配置servlet映射url-pattern实现 基于Servlet方式,由org.springframework.web.context.support.HttpRequestHandlerServlet去拦截url- pattern匹配的请求,查找对应的bean配置(本文通过applicationContext-servers.xml文件管理服务端bean)。
tomcat6.X 使用Invoker Servlet
明月当空
03-14 777
tomcat 6.X以后貌似不再支持自动支持InvokerServlet了。下面手动开启:1.先启动Servlet激活配置器服务     即在%CATALINA_HOME%/conf/web.xml,去掉              invoker                  org.apache.catalina.servlets.InvokerServlet           
httpinvoke远程调用外部系统方法实例
菜鸟的逆袭
10-20 1131
服务器端部署: 在xml
servlet4.0.1与jsp2.3.3依赖包的导入
weixin_43981664的博客
11-24 2209
servlet4.0.1与jsp2.3.3依赖包的导入 <!-- https://mvnrepository.com/artifact/javax.servlet/javax.servlet-api --> <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> &
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值