我正在为我的应用程序使用struts 1.3,并且所有jsp页面都通过控制器(动作类)转发。但如果我直接访问jsp页面,我就可以访问它。我该如何防止这种情况?
答案 0 :(得分:16)
将所有jsp-s放在WEB-INF文件夹中(例如在WEB-INF / jsp文件夹中)并且不要忘记更改关于jsp-s位置的映射。
答案 1 :(得分:4)
过滤器用于绕过或中断请求,因此如果请求中包含.do,请使用过滤器来限制请求。以下是过滤器的优秀教程
答案 2 :(得分:2)
我认为最好的选择是将您的网页放在WEB-INF文件夹中 - 这样他们就无法直接访问,但是在您的servlet中可以有类似的内容:
public class ControllerServlet extends HttpServlet {
/**
* Handles the HTTP <code>GET</code> method.
* @param request servlet request
* @param response servlet response
* @throws ServletException if a servlet-specific error occurs
* @throws IOException if an I/O error occurs
*/
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String userPath = request.getServletPath();
// if category page is requested
if (userPath.equals("/category")) {
// TODO: Implement category request
// if cart page is requested
} else if (userPath.equals("/viewCart")) {
// TODO: Implement cart page request
userPath = "/cart";
// if checkout page is requested
} else if (userPath.equals("/checkout")) {
// TODO: Implement checkout page request
// if user switches language
} else if (userPath.equals("/chooseLanguage")) {
// TODO: Implement language request
}
// use RequestDispatcher to forward request internally
String url = "/WEB-INF/view" + userPath + ".jsp";
try {
request.getRequestDispatcher(url).forward(request, response);
} catch (Exception ex) {
ex.printStackTrace();
}
}
取自:http://netbeans.org/kb/docs/javaee/ecommerce/page-views-controller.html
答案 3 :(得分:1)
您可以使用过滤器并使用请求.jsp页面的url限制请求,并仅允许请求.do
的请求