如何防止客户端访问JSP页面

时间:2012-09-02 08:52:12

标签: java jquery jsp

在我的Web应用程序中,我使用JQuery中的.load()函数,在JSP内加载一些DIV页面。

$("#myDiv").load("chat.jsp");

chat.jsp中,除非此客户端已登录,否则不会执行任何Java代码,这意味着我会检查会话。

String sessionId = session.getAttribute("SessionId");
if(sessionId.equals("100")){
  //execute codes
}else{
  //redirect to log in page
}

将要执行的那些java代码,它们将out.println();一些HTML元素。

我不希望客户端在浏览器中编写/chat.jsp来访问此页面,因为它看起来很糟糕,主页面中的其他内容也不会出现,这可以做到对网络应用安全造成损害。

如何限制某人直接访问chat.jsp,但仍可通过.load()访问该网址?

更新

JavaDB是我创建的一个类,它将我连接到数据库。

这是chat.jsp 

<body>

    <%

        String userId = session.getAttribute("SessionId").toString();
        if (userId != null) {
            String roomId = request.getParameter("roomId");
            String lastMessageId = request.getParameter("lastMessageId");
            JavaDB myJavaDB = new JavaDB();
            myJavaDB.Connect("Chat", "chat", "chat");
            Connection conn = myJavaDB.getMyConnection();
            Statement stmt = conn.createStatement();
            String lastId = "";
            int fi = 0;
            ResultSet rset = stmt.executeQuery("select message,message_id,first_name,last_name from users u,messages m where u.user_id=m.user_id and m.message_id>" + lastMessageId + " and room_id=" + roomId + " order by m.message_id asc");
            while (rset.next()) {
                fi = 1;
                lastId = rset.getString(2);
    %>
    <div class="message">
        <div class="messageSender">
            <%=rset.getString(3) + " " + rset.getString(4)%>
        </div>
        <div class="messageContents">
            <%=rset.getString(1)%>
        </div>
    </div>
    <%            }
    %>
    <div class="lastId">
        <% if (fi == 1) {%>
        <%=lastId%>
        <% } else {%>
        <%=lastMessageId%>
        <% }%></div>

    <% if (fi == 1) {%>
    <div class="messages">
    </div> 
    <% }
        } else {
            response.sendRedirect("index.jsp");
        }%>
</body>

伙计们我不知道过滤器意味着什么。

更新

如果我决定发送一个参数,告诉我这个请求来自Jquery。

.load("chat.jsp", { jquery : "yes" });

然后在chat.jsp

中查看 
String yesOrNo = request.getParameter("jquery");

然后他们可以通过使用此URL来解决这个问题。

/chat.jsp?jquery=yes

或类似的......

更新

我尝试了Maksim的建议,当我尝试访问chat.jsp时,我得到了这个建议。

enter image description here

这是期望的效果吗?

4 个答案:

答案 0 :(得分:2)

为了在我的应用程序中实现这一点,我检查客户端在其请求中发送到我的页面的http头中的X-Requested-With字段。如果它的值是XMLHttpRequest,那么它很可能来自ajax请求(jQuery将此标头附加到其请求中),否则我不会为该页面提供服务。常规(直接)浏览器请求会将此标头字段留空。

在ASP.Net中看起来像这样,你将不得不为JSP稍微改变你的代码:

if (Request.Headers["X-Requested-With"] != "XMLHttpRequest")
{
     Response.Write("AJAX Request only.");
     Response.End();
     return;
}

UPD :快速谷歌搜索后你的代码可能会是这样的

if(!request.getHeader("X-Requested-With").equals("XMLHttpRequest")){
    out.println("AJAX Request only.");
    out.flush(); 
    out.close(); 
    return; 
}

UPD2 :看起来request.getHeader("X-Requested-With")在您的情况下返回null,将条件更改为以下内容:

String ajaxRequest = request.getHeader("X-Requested-With");
if(ajaxRequest == null || !ajaxRequest.equals("XMLHttpRequest")){
    ...
}

答案 1 :(得分:1)

您的代码段是否为servlet?如果是这样,使用安全框架(如Spring Security)或javax.servlet.Filter来应用安全性,那么您也可以将安全性应用于JSP。

答案 2 :(得分:1)

你应该使用Filter。检查过滤器代码中的会话并重定向到登录。

答案 3 :(得分:1)

根据http://www.c-sharpcorner.com/blogs/2918/how-to-set-a-request-header-in-a-jquery-ajax-call.aspx

  

JQuery为您提供了创建请求和通过它的ajax库检索响应所需的工具。原始$ .ajax调用为您提供了各种回调来操作http消息。

因此,您可以在Ajaxa调用中添加自定义请求标头,如此

$.ajax({
  type:"POST",
  beforeSend: function (request)
  {
     request.setRequestHeader("Authority", "AJAXREQUEST");
  },
...........

然后在你的servlet中检查请求是否有头部权限等于AJAXREQUEST。这是您阅读请求标头http://www.apl.jhu.edu/~hall/java/Servlet-Tutorial/Servlet-Tutorial-Request-Headers.html

的方式
相关问题
最新问题