JSP安全性初探 (4) - 推荐教程

JSP安全性初探<1>(4)

原作者:kuku 添加时间:2007-06-02 原文发表:2007-06-02 人气:10 来源：互联网

本文章共4482字，分8页，当前第4页，快速翻页：

-----------------------------------------------------------------------------------------------------------------------------------------------

本文提示：《JSP安全性初探<1>(4)》是本站编辑们为广大网友精选的实用文章，本文阐述了关于文章的相关理论，相对来说专业性强，但是本文只是针对于某个问题提出的见解与论述，未必能辐射到相关问题的方方面面，所以本文处理问题的方法仅仅为您提供一些参考。更多问题请查阅学习中国网其他栏目哦.

-----------------------------------------------------------------------------------------------------------------------------------------------

　　例子：举个老一点的JavaScript/" target="_blank">JSP大写例子，Tomcat3.1下在浏览器中本来是http://localhost:8080/inde.jsp，可以正常解释执行，但是如果将inde.jsp改为inde.JavaScript/" target="_blank">JSP或者inde.Jsp等等试试看，你会发现浏览器会提示你下载这个文件，下载后源代码可以看个一干二净。

　　原因：jsp是大小写敏感的，Tomcat只会将小写的jsp后缀的文件当作是正常的jsp文件来执行，如果大写了就会引起Tomcat将index.JavaScript/" target="_blank">JSP当作是一个可以下载的文件让客户下载。老版本的WebLogic、WebShpere等都存在这个问题，现在这些公司或者发布了新版本或者发布了补丁解决了这问题。

　　解决办法：一是在服务器软件的网站上下载补丁；因为作者以前用过asp 一段时间，接触了很多IIS的漏洞，它的有效解决方法是去掉不必要的映射如htr、htx等，在jsp 中我们同样可以参考IIS的解决方法，不同的是不是去掉而是添加映射，方法为在服务器设置中添加一些映射如.JavaScript/" target="_blank">JSP 、.Jsp、.jsp%2E等，将他们映射到一个自己写的servlet，这个Servlet的唯一功能就是将请求导向一个自定义的类似404 not found的出错页面，不同的服务器设置的地方也不同，请参考相应的文档。第二种解决方法可以在没有补丁的时候采用。

本文章更多内容：<<上一页 - 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 下一页>>

本页地址