Java Server Page(JSP)作为建立动态网页的技术正在不断升温。JSP和ASP、PHP、工作机制不太一样。一般说来,JSP页面在执行时是编译式,而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候,服务器将检查自上次编译后JSP文件是否有改变,如果没有改变,就直接执行Servlet,而不用再重新编译,这样,效率便得到了明显提高。 今天我将和大家一起从脚本编程的角度看JSP的安全,那些诸如源码暴露类的安全隐患就不在这篇文章讨论范围之内了。写这篇文章的主要目的是给初学JSP编程的朋友们提个醒,从一开始就要培养安全编程的意识,不要犯不该犯的错误,避免可以避免的损失。另外,我也是初学者,如有错误或其它意见请发帖赐教。 一、认证不严——低级失误 在溢洋论坛v1.12 修正版中, user_manager.jsp是用户管理的页面,作者知道它的敏感性,加上了一把锁: if ((session.getValue("UserName")==null)││(session.getValue("UserClass")==null)││(! session.getValue("UserClass").equals("系统管理员"))) 如果要查看、修改某用户的信息,就要用modifyuser_manager.jsp这个文件。管理员提交
|
正在阅读:JSP安全编程实例浅析JSP安全编程实例浅析
2005-01-19 10:37
出处:
责任编辑:xietaoming
键盘也能翻页,试试“← →”键