我试图防止对我的 jsp 的目录遍历攻击。除了清理 URL 参数之外,我还不想完全公开目录结构。有没有办法让我隐藏/更改用户看到的路径以及源代码中的正确路径?
问问题
347 次
1 回答
0
一种方法是将 JSP 放在 WEB-INF 文件夹下。servlet 引擎将限制直接访问 WEB-INF 文件夹下的任何文件,从而实现您的目标。
为了能够使用这种方法,您的所有链接和表单操作都应该映射到您正在使用的框架中的 servlet 或类似组件(例如,Struts 中的操作、Spring MVC 中的控制器等)。您不能公开指向 JSP 页面的直接链接(无论如何这都是个坏主意)。
例如,如果您使用 Spring MVC,则链接将指向映射到控制器的 URL。控制器将检索需要在 JSP 上显示的数据,然后转发到 JSP(使用适当的 Spring MVC 方法)。
高温高压
于 2013-08-30T10:16:43.467 回答