我在这里面临一个关于保护jsps和servlet的问题。当有人查看页面源时,他/她可以查看jsp页面中的注销链接,该链接不应显示。例如,当某人查看页面源时会写入 a href =“signout.jsp”然后我认为它是不安全的,如果有人点击该注销链接,则会自动会话无效但应该完全禁止。如何保护jsp页面,以便当有人试图查看页面源时,他/她无法查看这样的合理链接?任何帮助表示赞赏。
答案 0 :(得分:1)
从这个意义上说,打印到浏览器的任何html都是不安全的。
但再次显示signout.jsp是完全安全的我真的没有看到任何问题。为什么你认为它不安全?
如果有退出,那么可能是注销!!如果你点击它就应该退出。
答案 1 :(得分:1)
如何保护jsp页面,以便当有人试图查看页面源时,他/她无法查看这些合理的链接?
你做不到。链接必须在传递给用户浏览器的HTML(或其他内容)中,并且您无法阻止人类获取它。
正确的策略是实现服务器端检查,以阻止在不应该使用时运行所谓的有害请求。例如,某些请求应限于登录用户,管理员等。
但在这种情况下,如果用户愿意,用户退出会有什么危害?如果您试图阻止它,用户可以关闭浏览器,关闭他的电脑并离开。
如何加密页面源?
答案相同。你不能。用户的浏览器需要以未加密的形式查看源,以便显示它。您的服务器的响应将传递给在用户计算机上运行的程序,并且您无法停止编程执行用户所需的操作。这包括以未加密的形式向用户显示页面的来源。
答案 2 :(得分:0)
你错了:显示链接并不安全。
允许资源显示合理数据是危险的,但注销链接完全无害。
显示登录/注销链接是一种很好的做法。
考虑一下Google是否隐藏了Gmail中的退出链接!