【发布时间】:2013-09-02 22:44:19
【问题描述】:
我正在尝试防止对我的 jsp 的目录遍历攻击。除了清理 URL 参数之外,我还不想完全公开目录结构。有没有办法让我隐藏/更改用户看到的路径以及源代码中的正确路径?
【问题讨论】:
标签: java jsp path href copy-protection
【发布时间】:2013-09-02 22:44:19
【问题描述】:
一种方法是将您的 JSP 放在 WEB-INF 文件夹下。 servlet 引擎会限制直接访问 WEB-INF 文件夹下的任何文件,从而达到您的目的。
为了能够使用这种方法,您的所有链接和表单操作都应该映射到您正在使用的框架中的 servlet 或类似组件(例如,Struts 中的操作、Spring MVC 中的控制器等)。您不能公开指向 JSP 页面的直接链接(无论如何这都是个坏主意)。
例如,如果您使用 Spring MVC,链接将指向映射到控制器的 URL。控制器将检索需要在 JSP 上显示的数据,然后转发到 JSP(使用适当的 Spring MVC 方法)。
HTH
【讨论】:
-
所以你的意思是使用按钮而不是
<a href="[path]">here</a>? -
你能举个例子吗?
-
该示例将特定于您正在使用的 Web 框架。你使用的是 Struts 还是 Spring MVC?