保护 servlet 应用程序中的内部视图层模板页面

Question

我有一个关于 Java 中的 MVC Web 应用程序的非常基本的问题。

从早期的原始 JSP 直到 Seam 等当前技术，一个非常基本的模式始终是从最初接受请求的控制器到视图层的内部调度，视图层创建要发送到客户端的输出。

这种内部调度通常是通过使用 URL 向 servlet 容器请求新资源来完成的（尽管该机制可能通过额外的配置层隐藏）。这些 URL 的映射由同一个 web.xml 完成，该 web.xml 还定义了外部的“真实”URL。

除非采取特殊措施，通常可以直接访问视图层。见证Seam“注册”演示，您可以绕过“register.seam”并直接转到“registered.xhtml”。这是一个潜在的安全问题。至少，它泄露了视图模板源代码。

我知道这只是一个基本的示例应用程序，但奇怪的是，需要采取任何额外的措施来声明这些内部资源对外部不可见。

限制 URL 入口点的最简单方法是什么？

是否有类似“WEB-INF”目录的东西，一个只能由内部请求访问的神奇URL路径组件？

Answer 1

我现在看到一些应用程序将其内部 JSP 放入 WEB-INF/jsp. 。这似乎可以解决问题，至少对于 JSP 来说是这样，对于 Velocity 来说也是如此。它 似乎不适用于 JSF, ， 尽管。

Answer 2

您可以使用以下方法来阻止对内部资源的访问 security-constraint 在你的 web.xml 部署描述符。

例如，我使用以下配置来阻止直接访问 JSP：

<!-- Prevent direct access to JSPs. -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>JSP templates</web-resource-name>
        <url-pattern>*.jsp</url-pattern>
    </web-resource-collection>
    <auth-constraint/> <!-- i.e. nobody -->
</security-constraint>

Answer 3

我不建议允许互联网请求直接访问您的应用程序服务器。我会在前面放置一个网络服务器，然后在其中允许某些类型的 URL 的请求。不希望人们访问 foo.com/jsps？在那里一劳永逸地限制它。

这里有一些关于这个主题的对话： 将页面隐藏在 WEB-INF 后面？

Answer 4

处理此问题的一种方法是构造一个 Servlet Filter，它检查每个请求的请求路径并相应地处理每个请求。这是一个可以帮助您入门的链接， JavaServer Pages (JSP) 和 JSTL - 使用 JSP 进行访问控制