安全約束不起作用

Question

我需要阻止直接訪問jsp頁面。

我已經把我的web.xml是這樣的：

<security-constraint> 
    <web-resource-collection> 
    <web-resource-name>My Hidden Pages</web-resource-name> 
    <url-pattern>/*.jsp</url-pattern> 
    </web-resource-collection> 
    <auth-constraint></auth-constraint> 
</security-constraint> 

，但所有的頁面仍然在瀏覽器地址欄中輸入自己的地址進行訪問。 我該如何解決這個問題？

僅供參考我使用的碼頭 - Maven的插件和servlet-API 2.5

感謝

Answer 1

你不隱瞞的JSP的方式。

有在構建時的幾個常見的方法（最好選擇第一）

1. 預編譯JSP和不包括在WAR文件的實際JSP文件。

2. 把你的JSP文件放在WEB-INF文件夾的某處。然後通過Controller servlet完成對jsps的訪問。這使用WEB-INF的安全性來防止直接訪問JSP文件，這是所有servlet容器必須遵守的。

   見過去計算器問題，在此：

   • Why put JSP in WEB-INF?
   • How can I hide the JSP file in WEB-INF folder?

   還有更多的，只是搜索 「在WEB-INF JSP」 發現更多關於這個概念。

3. 正確配置Jetty的JSP實現。完成後，這意味着所有對JSP文件的訪問都必須經過該實現的JspServlet。

   查看webdefault.xml例如如何定義這種映射。

   如果您在啓動時看到關於"No JSP Support for "的錯誤或警告，那麼您知道您尚未正確配置JSP，這意味着所有JSP文件將以靜態方式提供服務。注意：如果您使用舊版本的Jetty（任何早於7.6.16版本的版本），或者使用較舊版本的Java（任何早於1.7_40的版本），或者在Windows上使用Jetty（此處存在問題Jetty 9.3.0將在下個月發佈），那麼即使這可以解決。

Answer 2

您的<url-pattern>不正確。它應該是<url-pattern>*.jsp</url-pattern>而不是/。根據規範允許的模式是：

A URL模式是一個相對於應用程序上下文的URI。 模式可以包括：

• 路徑映射，從/並用/*結束該圖案識別與給定的路徑開始，例如任何資源， /catalog/*或/catalog/products/*
• 擴展映射，從*.這模式標識具有給定擴展名的任何資源，例如，*.jsp或*.gif
• 默認servlet映射，僅包含/此模式標識默認servlet映射t應用程序的servlet。
• 完全匹配此模式使用表示特定資源的字符串，例如/snoop是servlet映射，而 是/list/banner.jsp是文件映射。

如果你想確保給定文件夾中，你需要使用的圖案像/folder/*，如果你想保護的所有網頁只使用*.jsp，如果你想保護的所有頁面，除了index.jsp頁面，則需要添加另一個限制，允許明確訪問/index.jsp文件。