JSP作为建立动态网页的技术正在不断升温。JSP和ASP、PHP、工作机制不太一样。一般说来,JSP页面在执行时是编译式,而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候,服务器将检查自上次编译后JSP文件是否有改变,如果没有改变,就直接执行Servlet,而不用再重新编译,这样,效率便得到了明显提高。
今天我将和大家一起从脚本编程的角度看JSP的安全,那些诸如源码暴露类的安全隐患就不在这篇文章讨论范围之内了。写这篇文章的主要目的是给初学JSP编程的朋友们提个醒,从一开始就要培养安全编程的意识,不要犯不该犯的错误,避免可以避免的损失。另外,我也是初学者,如有错误或其它意见请发帖赐教。
一、认证不严——低级失误
在溢洋论坛v1.12 修正版中,
user_manager.jsp是用户管理的页面,作者知道它的敏感性,加上了一把锁:
if ((session.getValue("UserName")==null)││ (session.getValue("UserClass")==null)││ (! session.getValue("UserClass").equals("系统管理员"))) { response.sendRedirect("err.jsp?id=14"); return; } |
相关JSP-不断升温的动态网页建造工具