2

我在 Tomcat 中使用 Struts2+Spring+Hibernate。

我遇到了用户能够直接输入 .jsp 或 .action url 的问题。他们需要访问的所有内容都可以从主页访问,所以我想阻止这种访问。

我一直在寻找答案,并且发现了一些东西,尤其是与 .jsp 阻塞有关的东西。我已经添加

<security-constraint>
<web-resource-collection>
<web-resource-name>Deny Direct Access</web-resource-name>
<description></description>
<url-pattern>*.jsp</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>Denied</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<role-name>Denied</role-name>
</security-role>

到我的 web.xml ,但这似乎没有任何作用。然后我变了

<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>*</url-pattern>
</filter-mapping> 


<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>*.action</url-pattern>
    <url-pattern>*.html</url-pattern>
    <url-pattern>/index.jsp</url-pattern>
</filter-mapping>

这会阻止一些 .jsp 文件,但不会阻止其他文件。我确定不放

<url-pattern>*.jsp</url-pattern>

在我的任何安全角色中。

我听说我可以将所有 jsps 放在 /Web-inf 中,但这似乎很麻烦,因为我必须在我引用它们的每个应用程序实例中更改路径。

我也找不到任何涉及阻止直接访问 .action 类的内容。如果有人可以指点我找到此信息,将不胜感激。谢谢。

4

1 回答 1

5

如果您将 JSP 放在 /WEB-INF 目录下,那么它们将无法直接访问。

至于 .actions,那你就不走运了——你无法阻止某人直接访问网页的 URL(这就是 .action 的最终含义)。

为什么要阻止人们直接访问 URL?能够直接链接到事物是网络的一个非常基本的部分。

更新

由于您正在寻找一种控制访问的方法,因此您可以创建一个接口,然后创建一个拦截器。在拦截器中,检查当前动作是否实现了接口,如果是,则调用接口上的方法。

这是一个例子:

public interface SecurableAction {
  void checkSecurity();
}

public class SecurityInterceptor extends AbstractInterceptor {
  @Override
  public String intercept(ActionInvocation invocation) throws Exception {
    Object action = invocation.getAction();
    if (action instanceof SecurableAction) {
        ((SecurableAction) action).checkSecurity();
    }

    return invocation.invoke();
  }
}

最后,在您的操作checkSecurity()方法中,检查当前用户是否有权调用该操作。如果用户无权访问,则抛出某种异常(我通常创建一个被调用的异常,AccessViolation然后将其映射到自定义错误页面)。

public class YourAction implements SecurableAction {
  @Override
  public void checkSecurity() {
    if (!currentUser.hasPermission("MANAGE_OTHER_USERS")) {
      throw new AccessViolation();
    }
  }
}

请记住将此新拦截器添加到您的堆栈中。

作为所有这些的替代方案,您也可以使用Preparable接口来提供所有这些,但我发现有一个单独的方法来封装安全检查会更好。

于 2012-08-15T16:12:30.980 回答