为了保护jsp源码,是把jsp文件放入web-inf目录里呢?还是有其它更好的方法呢?请指教

petpetg 2006-02-23 04:49:42
为了保护jsp源码,是把jsp文件放入web-inf目录里呢?还是有其它更好的方法呢?请指教
...全文
516 24 打赏 收藏 举报
写回复
24 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
wuyg719 2006-02-25
在struts中,jsp页面是不赞成直接访问的,都是通过action重定向访问,所以在许多情况下,直接
访问jsp页面会出现页面错误等意想不到的情况,严重的时候可能还有安全漏洞,所以一般在struts中都需要禁止jsp页面直接访问.

我知道有好几种方法,但在struts中,web-inf是比较安全简单的方法。
  • 打赏
  • 举报
回复
skycncomp 2006-02-25
招聘
地点北京

qq: 283765999
  • 打赏
  • 举报
回复
petpetg 2006-02-24
shutdown server ?
  • 打赏
  • 举报
回复
fbtdjs 2006-02-24
study...
  • 打赏
  • 举报
回复
paladinwang 2006-02-24
说实话,我不太明白jsp页面有什么需要保护的,在单个的jsp上只有很简单的语句,基本上没有复杂的逻辑,你的关键数据都在类里面阿。
  • 打赏
  • 举报
回复
wmzsl 2006-02-24
可以用filter做过滤
  • 打赏
  • 举报
回复
WiseDragon 2006-02-24
up
  • 打赏
  • 举报
回复
km3 2006-02-24
倒了,jsp就应该是做页面的,如果别人参考,也只是参考一下页面的布局和美工。
这些都会变成html的,你保护不了的。要是你把更多的东西写进去了,只能说这个程序写的
有些垃圾,不值得保护。

如果真的想让别人不知道你的代码,推荐一个日本人的做法,写一些自定义标签,把页面的
一些主要布局都写在标签里,这么的话以后修改还很方便,还能很好的做到界面的统一,可以说是一举多得,这么的话,即使是服务器的管理人员也拿不到你的代码。
  • 打赏
  • 举报
回复
isloop 2006-02-24
你看这样行不行,验证上次页面的来源,但是对于用JavaScript跳转过来的也是返回false,他只能认出是不是通过链接点进来的。
也可以通过这种方法,给所有的页都加上一个框架,如果出了框架那肯定是直接输入的了。
<%
String SelHttp="";
String ReHttp="";
try{
ReHttp=(String)request.getHeaders("Referer").nextElement();
}
catch(Exception e){
return false;
}
SelHttp="http://"+request.getServerName();
if(request.getServerPort()!=80){
SelHttp+=":"+request.getServerPort();
}
SelHttp+="/";
if((ReHttp.indexOf(SelHttp))!=0){
return false;
}
return true;
%>
  • 打赏
  • 举报
回复
panzi667 2006-02-24
  • 打赏
  • 举报
回复
petpetg 2006-02-24
谢谢大家了,我已经开始把jsp移入web-inf里了,
但还是有点不死心,究竟有没别的更好方法防止用户绕过action直接输入jsp地址访问的呢,我用的是struts
  • 打赏
  • 举报
回复
allenjay2003 2006-02-24
shutdown computer
  • 打赏
  • 举报
回复
CFZC 2006-02-23
shutdown server
  • 打赏
  • 举报
回复
petpetg 2006-02-23
现在我地jsp也是放在web-inf同级目录的,如果没有其他方法的话那就只能移入web-inf中了
  • 打赏
  • 举报
回复
leonwu1981_2 2006-02-23
mark,以前刚入行时一个公司把jsp都放在web-inf下,当时见识少,没把代码弄出来,后悔啊
  • 打赏
  • 举报
回复
petpetg 2006-02-23
既然不能直接下载源代码,现在就剩下"不让用户直接输入jsp地址链接访问页面"这个问题了,
标准的做法是把jsp放入web-inf里呢?还是在tomcat那个什么安全那里配置什么的?还是有什么其他的方法,譬如当访问的是jsp的话就用拦截器挡一挡的?
  • 打赏
  • 举报
回复
yyjzsl 2006-02-23
用代码加密器,^_^。
  • 打赏
  • 举报
回复
petpetg 2006-02-23
是哦,下载的jsp果然是已经过解析了的,呵呵
  • 打赏
  • 举报
回复
interpb 2006-02-23
明白 但是纠正一下

FlashGet下载的也只是经server运行后的页面
也就是IE中的源代码

你不会这个都不让别人知道吧
  • 打赏
  • 举报
回复
human_2 2006-02-23
晕,要是能下载JSP代码,我早发财了
  • 打赏
  • 举报
回复
加载更多回复(4)
相关推荐
发帖
Web 开发

8.0w+

社区成员

Java Web 开发
社区管理员
  • Web 开发社区
加入社区
帖子事件
创建了帖子
2006-02-23 04:49
社区公告
暂无公告