如何在Web項(xiàng)目中保護(hù)JSP源代碼不被未經(jīng)授權(quán)的訪問和窺視？基于不同的功能JSP被放置在不同的目錄下這種方法的問題是這些頁面文件容易被偷看到源代碼，或被直接調(diào)用。某些場合下這可能不是個(gè)大問題，可是在特

如何在Web項(xiàng)目中保護(hù)JSP源代碼不被未經(jīng)授權(quán)的訪問和窺視？

基于不同的功能JSP被放置在不同的目錄下這種方法的問題是這些頁面文件容易被偷看到源代碼，或被直接調(diào)用。某些場合下這可能不是個(gè)大問題，可是在特定情形中卻可能構(gòu)成安全隱患。用戶可以繞過Struts的controller直接調(diào)用JSP同樣也是個(gè)問題。為了減少風(fēng)險(xiǎn)，可以把這些頁面文件移到WEB-INF目錄下?；赟ervlet的聲明，WEB-INF不作為Web應(yīng)用的公共文檔樹的一部分。因此，WEB-INF目錄下的資源不是為客戶直接服務(wù)的。我們?nèi)匀豢梢允褂肳EB-INF目錄下的JSP頁面來提供視圖給客戶，客戶卻不能直接請求訪問JSP。如果把這些JSP頁面文件移到WEB-INF目錄下，在調(diào)用頁面的時(shí)候就必須把”WEB-INF”添加到URL中。例如，在一個(gè)Struts配置文件中為一個(gè)logoffaction寫一個(gè)Actionmapping。其中JSP的路徑必須以”WEB-INF”開頭。