仅通过jsp页面允许Servlet访问;不直接

时间:2014-12-08 01:56:08

标签: servlets servlet-filters

我有一个servlet,它将连接到db并给出响应。它将通过ajax调用在另一个jsp页面内调用。

但是如果用户知道servlet路径,他们可以直接从浏览器中访问我的servlet。我的要求是我想让他们只通过ajax直接到达我的servlet。我怎么能实现这个目标呢?

1 个答案:

答案 0 :(得分:0)

如果通过Ajax调用servlet,则意味着用户已经使用直接HTTP请求调用它来调用它。

您不能限制有进取心的用户不知道他可以直接调用哪个URL以及要附加哪些参数以获得有利的结果。

您可以尝试查看引荐来源标题,但也可以伪造。

您的应用程序不得依赖于不干扰请求模式(或其cookie或您的Javascript)的用户与安全相关的任何内容。不要盲目信任任何用户输入,验证所有内容(针对无法篡改的服务器端状态)。

这就是客户端 - 服务器编程的本质(特别是在开放式客户端作为全球网络上的网络浏览器,例如公共互联网)。