把那些限制訪問的資源(比如說jsp源代碼)放到Web應用的WEB-INF目錄下,對於/web-INF/及其子目錄,不允許直接的公共訪問,所以就可以起到保護這些代碼未經授權的訪問和窺視,更好的保護了源代碼(19頁)。
這麼書只是對這種方法進行了簡單的介紹,沒有描述詳細處理方法,我測試了一下,沒有辦法對放到/WEB-INF的文件進行訪問,所以我就上網搜索了一下,才明白了具體的處理方法,感覺非常適合用在STRUTS結構上的系統。下面請聽我詳細說明。
通常JSP開發人員會把他們的頁面文件存放在Web應用相應的子目錄下。一個典型的商店應用程序的目錄結構如圖2所示。跟catalog (商品目錄)相關的JSP被保存在catalog子目錄下。跟customer相關的JSP,跟訂單相關的JSP等都按照這種方法存放。
圖 2.基於不同的功能 JSP 被放置在不同的目錄下
這種方法的問題是這些頁面文件容易被偷看到源代碼,或被直接調用。某些場合下這可能不是個大問題,可是在特定情形中卻可能構成安全隱患。用戶可以繞過Struts的controller直接調用JSP同樣也是個問題。
爲了減少風險,可以把這些頁面文件移到WEB-INF 目錄下。基於Servlet的聲明,WEB-INF不作爲Web應用的公共文檔樹的一部分。因此,WEB-INF 目錄下的資源不是爲客戶直接服務的。我們仍然可以使用WEB-INF目錄下的JSP頁面來提供視圖給客戶,客戶卻不能直接請求訪問JSP。
採用前面的例子,圖3顯示將JSP頁面移到WEB-INF 目錄下後的目錄結構
3. JSP存放在 WEB-INF 目錄下更爲安全
如果把這些JSP頁面文件移到WEB-INF 目錄下,在調用頁面的時候就必須把"WEB-INF"添加到URL中。
我們知道,實現頁面的跳轉有兩種方式,一種是通過redirect的方式,一種是通過forward的方式。redirect方式的跳轉,系統會在一個新的頁面打開要跳轉的網頁;而forward方式跳轉,系統會在原來的頁面上打開一個要跳轉的網頁。所以放到WEB-INF目錄下的文件是不允許採用redirect方式的跳轉來訪問的,如下
例1:/test/test1.jsp文件
<html>
<body>
<form name="testform" action="/WEB-INF/jsp/test/test.jsp">
<input type = "submit" value="test">
</form>
</body>
</html>
上面這段語句只有一個名爲test的按鈕,如果單擊這個按鈕是,系統就會跳轉到/WEB-INF/jsp/test/test.jsp,它的代碼如下:
例2:/WEB-INF/jsp/test/test.jsp文件
<html>
<body>
跳轉成功!
</body>
</html>
事實上,這個跳轉是無法成功的,點擊按鈕後,IE會報“403 Forbidden”的錯誤。
而forward方式的跳轉則可以成功,如下代碼:
例3:/test/test2.jsp文件
<html>
<body>
<form name="testform">
<jsp:forward page = "/WEB-INF/jsp/test/test.jsp" />
</form>
</body>
</html>
請注意上面紅色的語句,這段就是通過forward的形式來訪問/WEB-INF/jsp/test/test.jsp文件,在IE輸入地址http://localhost/test1/test2.jsp,網頁上就顯示“跳轉成功!”的信息了,這表示放到了WEB-INF可以通過forward的方式來訪問。
個人認爲,像這種方式的可能不大時候採用一般jsp進行編程的系統,因爲很多頁面上都有采用submit這樣的方式來進行跳轉,但這種方式卻非常適合採用struts結構的系統。因爲採用這個結果大多是先跳轉到一個Action類,然後在Action類進行相關處理後(比如說獲取相關的信息保存到session中,進行有效性的判斷),然後再forward到另外一個頁面,這樣放到WEB-INF中的jsp代碼可以被正常訪問,也防止了對這些頁面的直接訪問,下面我來舉例說明。
下面我們先對配置文件struts-config.xml進行配置,如下:
例4:WEB-INF/struts-config.xml文件
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE struts-config PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 1.1//EN" "http://jakarta.apache.org/struts/dtds/struts-config_1_1.dtd">
<struts-config>
<!-- ========== Action Mapping Definitions ============================== -->
<action-mappings>
<action path="/test"
type=" test.TestAction"
scope="request">
<forward name="test" path="/WEB-INF/jsp/test/test.jsp"/>
</action>
</action-mappings>
</struts-config>
上面這個配置非常簡單,請看紅色部分,這裏定義了一個action類,它的路徑爲/test,所對應的類爲test.TestAction.Java,它都一個跳轉頁面,別名爲test,對應的頁面爲/WEB-INF/jsp/test/test.jsp。
下面我們對例1的內容進行修改,使其跳轉到/test去。
例5:修改後的/test/test1.jsp文件
<html>
<body>
<form name="testform" action="/test">
<input type = "submit" value="test">
</form>
</body>
</html>
這樣我們在IE中訪問http://localhost/test/test1.jsp,然後點擊test按鈕,頁面就會跳轉到test.TestAction.java這個類來,下面是這個類的內容。
package test;
import javax.servlet.http.*;
import org.apache.struts.action.ActionMapping;
import org.apache.struts.action.Action;
import org.apache.struts.action.ActionForm;
import org.apache.struts.action.ActionForward;
public class TestAction extends Action
{
public ActionForward perform(ActionMapping mapping,
ActionForm form, HttpServletRequest req,
HttpServletResponse res)
{
return mapping.findForward("test");
}
}
可以看到,這個類是繼承Action類的,所有的控制類都必須繼承Action類,這個類裏面有一個perform方法,跳轉到這個類都是從這個方法進行訪問的(新版本可以是execute方法),現在這個方法裏面只有一條語句,這句話的意思就是跳轉到一個別名爲test的頁面,也就是/WEB-INF/jsp/test/test.jsp頁面,這樣我們點擊test按鈕後,IE就會顯示“跳轉成功!”這條信息,這表示系統允許這樣的跳轉。
轉載二:
因爲web-inf下,應用服務器把它指爲禁訪目錄,即直接在瀏覽器裏是不能訪問到的.
但是可以讓servlet進行訪問,如web-inf下有a.jsp則可以用request.getrequestdispatcher("/web-inf/a.jsp").forward(request,response);
補充一下,如果你想訪問web-inf下的htm文件的話,用request.getrequestdispatcher("/web-inf/a.htm").forward(request,response);是訪問不了的。
原因很簡單,jsp就是servlet,會被編譯成class文件,而htm的就不行了。
所以需要配置以下conf下的web.xml文件才能去訪問htm。
具體實現如下:
用打開tomcat安裝目錄下conf下的web.xml文件,找到
<servlet-mapping>
<servlet-name>jsp</servlet-name>
<url-pattern>*.jsp</url-pattern>
</servlet-mapping>
然後在它下面添加
</servlet-mapping>
<servlet-mapping>
<servlet-name>jsp</servlet-name>
<url-pattern>*.html</url-pattern>
</servlet-mapping>
這樣的話,你就能用request.getrequestdispatcher("/web-inf/a.htm").forward(request,response);去訪問web-inf下的htm了