security - 阻止在Struts2中直接访问*.jsp和*.action-6ren

security - 阻止在Struts2中直接访问.jsp和.action

转载作者：行者123 更新时间：2023-12-02 22:32:40

25

4

我在 Tomcat 中使用 Struts2+Spring+Hibernate。

我遇到了用户能够直接输入 .jsp 或 .action url 的问题。他们需要访问的所有内容都可以从主页访问，所以我想阻止这种访问。

我一直在寻找答案，并且找到了一些东西，尤其是与 .jsp 阻塞有关的东西。我已经添加了

<security-constraint>
<web-resource-collection>
<web-resource-name>Deny Direct Access</web-resource-name>
<description></description>
<url-pattern>*.jsp</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>Denied</role-name>
</auth-constraint>
</security-constraint>
<security-role>
<role-name>Denied</role-name>
</security-role>

到我的 web.xml，但这似乎没有任何作用。然后我变了

<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>*</url-pattern>
</filter-mapping>

到

<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>*.action</url-pattern>
    <url-pattern>*.html</url-pattern>
    <url-pattern>/index.jsp</url-pattern>
</filter-mapping>

它会阻止某些 .jsp 文件但不会阻止其他文件。我已经确保不放

<url-pattern>*.jsp</url-pattern>

担任我的任何安全角色。

我听说我可以将我所有的 jsps 放在/Web-inf 中，但这似乎是一个很大的麻烦，因为我必须在我引用它们的应用程序的每个实例中更改路径。

我也找不到任何涉及阻止直接访问 .action 类的内容。如果有人可以指出我可以找到此信息，将不胜感激。谢谢。

最佳答案

如果将 JSP 放在/WEB-INF 目录下，则无法直接访问它们。

至于 .actions，你在那里运气不好——你无法阻止某人直接访问网页的 URL(这就是 .action 的最终含义)。

为什么要阻止人们直接访问 URL？能够直接链接到事物是网络的一个非常基本的部分。

更新

由于您正在寻找一种控制访问的方法，因此您可以创建一个接口(interface)，然后创建一个拦截器。在拦截器中，检查当前操作是否实现了接口(interface)，如果是，则调用接口(interface)上的方法。

这是一个例子:

public interface SecurableAction {
  void checkSecurity();
}

public class SecurityInterceptor extends AbstractInterceptor {
  @Override
  public String intercept(ActionInvocation invocation) throws Exception {
    Object action = invocation.getAction();
    if (action instanceof SecurableAction) {
        ((SecurableAction) action).checkSecurity();
    }

    return invocation.invoke();
  }
}

最后，在您的操作的 checkSecurity() 方法中，检查当前用户是否有权调用该操作。如果用户没有访问权限，则抛出某种异常(我通常创建一个名为 AccessViolation 的异常，然后将其映射到自定义错误页面)。

public class YourAction implements SecurableAction {
  @Override
  public void checkSecurity() {
    if (!currentUser.hasPermission("MANAGE_OTHER_USERS")) {
      throw new AccessViolation();
    }
  }
}

请记住将这个新拦截器添加到您的堆栈中。

作为所有这些的替代方法，您也可以使用 Preparable 接口(interface)来提供所有这些，但我发现使用单独的方法来封装安全检查会更好。

关于security - 阻止在Struts2中直接访问*.jsp和*.action，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/11972892/

25

4

0

文章推荐： wpf - 如何在 WPF 中找到任意字形的确切大小？

文章推荐： actionscript - 使用 ActionScript 文件编译 .SWF

文章推荐： regex - AS3 split() 命令

文章推荐： internet-explorer - Twitter Bootstrap 2.0 Carousel 和 IE 过渡问题

struts-1 - Struts 1 Action 从 struts-config 向前调用到另一个 struts-config 文件中的另一个 Action
我正在尝试从 struts-config 调用使用 struts 1 中的操作转发属性，并且我想调用另一个操作，它位于另一个 struts.config 文件中。显然它不起作用! 我的代码是: In
struts-1 - Struts struts-config.xml Action 映射解释
我是 Struts 框架的菜鸟。我试图了解 Action 映射是如何工作的。假设我有一个发送 AJAX 请求的 JavaScript 文件: $("button").click(function(){
struts - 使用 struts 的复选框
嗨，我愿意更新从数据库中获取并加载到 JSP 上的复选框的值。我正在创建员工资料。 Jsp 具有员工姓名、员工地址、员工技术技能等字段。员工技能具有以下复选框以选择以下值复选框 1:Java 复选
struts - struts-config.xml文件中forward标签的path属性
在上面的代码中，fo
struts - 如何查找项目中使用的 Struts 版本
如何找到正在使用的 Struts 版本在 Web应用项目在 Eclipse 中？我的 struts-config.xml 说谢谢。最佳答案打开 struts jar 并在 META-INF
struts - 是什么让 Struts 紧密耦合
我一段时间以来一直试图找到这个问题的明确答案，但没有任何运气。我需要知道为什么Struts是紧耦合的？ struts 的哪个组件使其紧密耦合。最佳答案这太棒了Mkyong article正如我们所
struts - 每个优秀的 Struts 开发人员都应该能够回答的问题？
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 5 年前。 Improve this qu
struts-1 - Struts html 标签不起作用
我只是尝试在带有 struts 提供的标签的 jsp 页面中包含一个文本框。但它表现得很典型。在职的不工作所以，没有属性(property)'value' ，它不工作。请帮帮我。笔记: 使
struts-1 - Struts - 在任何范围内都找不到 bean
我使用 eclipse 来实现原生 Struts 和 hybernate 支持应用程序在页面中显示一系列链接。我收到错误: javax.servlet.jsp.JspException: Cannot
struts - Struts 1.3 中的多个提交按钮
我的 JSP 中有以下代码: .. .. .. .. 这在 struts-config.xml 中文件: 喜欢delete行动吧，我有edit和up
struts - Struts 和 Tapestry 框架有什么区别
谁能解释一下 Struts 和 Tapestry 框架之间的区别或者它们之间的比较？问候，马亨德拉·阿特尼亚孟买印度最佳答案此处更新了 Tapestry 教程:http://tapestry.a
struts - 无法在 Struts Multibox 中取消选中所有内容
我有一个在 weblogic 上运行的 j2ee 应用程序。我对我的多功能盒感到困惑。我对 multibox 的了解是，选中的项目将在提交时作为字符串数组传递。我不知道为什么在我的应用程序中，当我
java - Struts 表单不适用于 struts tiles
我正在设计一个购物车项目，其中只有我的内容区域会发生变化，因此我使用 struts 磁贴对其进行了配置，并且一切正常，直到我在我的项目中遇到表单。每当我尝试使用图 block 显示表单(struts
struts - 如何删除在 Struts 1.3 的显示标签中找不到要显示的任何内容
我想删除在 Struts 1.3 显示标签中没有找到显示的消息，当没有从数据库中获取记录时。有可能这样做吗...？最佳答案从我的角度来看，默认行为应该是在空数据源的情况下不显示任何消息。 emp
struts - struts中找不到键org.apache.struts.action.MESSAGE下的消息资源
我在浏览器窗口中收到以下错误: org.apache.jasper.JasperException:javax.servlet.ServletException:javax.servlet.jsp.J
java - 什么是 Struts .struts.mex 文件
我是 Struts 的新手。我在 struts 中有一个现有的 java 项目。该项目有 struts.xml 和 .struts.mex 文件。我了解到 struts.xml 是 Action 类到
java - Struts 标签位于另一个标签内 STRUTS 1.3
我遇到了问题。我一直在不同的论坛上寻找答案，但不幸的是我没有找到答案。我需要这个，因为我正在创建一个网页，您可以在其中更改语言，因此不能对其进行硬编码。我需要这样做: "> 所以我想将 html 标记
java - Struts - 异常 - 找不到 Struts 调度程序
我正在使用 Struts 2.1.8.1。我想在我的 jsp 页面中使用 struts 提供的标签。例如 Transfer Program - Log
java - struts.xml 中 Struts 的默认包名称是什么？
我创建了一个名为 RegesterAction 的新类，但我没有将此类保留在任何包中。如何在 struts.xml 中配置此类？下面是 struts.xml 文件，但我无法理解属性值 "defaul
struts - 引发异常时，使 Struts 发送 500 内部服务器错误
我正在开发一个支持 AJAX 的 JavaScript 前端，它可以调用用 Struts 编写的 Java 后端。我的问题是，当后端抛出异常时，客户端仍然会看到“200 OK”HTTP 响应代码，而不

首页

博学

6Ren·AI

商城

security - 阻止在Struts2中直接访问.jsp和.action