千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 开发技术 >

jspxcms中怎样使用jsp文件

发表于:2024-12-04 作者:千家信息网编辑
千家信息网最后更新 2024年12月04日,这篇文章给大家介绍jspxcms中怎样使用jsp文件,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。系统中默认禁止jsp的访问。允许jsp访问容易导致一些漏洞,最为常见的攻击方式是
千家信息网最后更新 2024年12月04日jspxcms中怎样使用jsp文件

这篇文章给大家介绍jspxcms中怎样使用jsp文件,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

系统中默认禁止jsp的访问。允许jsp访问容易导致一些漏洞,最为常见的攻击方式是通过上传jsp文件获取webshell。

在com.jspxcms.core.ShiroConfig中定义了对jsp jspx后缀的过滤。

    @Bean    public FilterRegistrationBean jspDispatcherFilterRegistrationBean() {        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();        filterRegistration.setFilter(new JspDispatcherFilter());        filterRegistration.setEnabled(true);        filterRegistration.addInitParameter("prefix", "/jsp");        filterRegistration.addUrlPatterns("*.jsp");        filterRegistration.addUrlPatterns("*.jspx");        filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);        return filterRegistration;    }

其中com.jspxcms.common.web.JspDispatcherFilter就是过滤器。

    /**     * 是否允许访问 JSP 或 JSPX 文件。默认 false 。     */    private boolean allowed = false;    /**     * 请求转发地址前缀。只允许特定目录的 jsp(jspx) 允许被访问。默认为 /jsp 。比如访问 /abc.jsp 通过请求转发实际上访问的文件为 /jsp/abc.jsp 。     */    private String prefix = "/jsp";    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {        if (!allowed) {            ((HttpServletResponse) response).sendError(HttpServletResponse.SC_FORBIDDEN, "JSP Access Denied");            return;        }        HttpServletRequest req = (HttpServletRequest) request;        String uri = req.getRequestURI();        String ctx = req.getContextPath();        if (StringUtils.isNotBlank(ctx)) {            uri = uri.substring(ctx.length());        }        request.getRequestDispatcher(prefix + uri).forward(request, response);    }    public void init(FilterConfig filterConfig) throws ServletException {        String allowed = filterConfig.getInitParameter("allowed");        if ("true".equals(allowed)) {            this.allowed = true;        }        String prefix = filterConfig.getInitParameter("prefix");        if (StringUtils.isNotBlank(prefix)) {            this.prefix = prefix;        }    }

在这个过滤器中默认不允许任何jsp的直接访问。但对于某些一定需要使用jsp的情况,预留了一个相对安全的访问jsp的方法。就是所有的jsp请求,都转发到/jsp目录下,这防止了攻击者将jsp文件上传到uploads等目录导致的攻击。因为只有上传到/jsp目录的jsp文件才能被访问。

可以修改JspDispatcherFilter的private boolean allowed = true;。然后将jsp文件放到/jsp目录中。比如创建/jsp/abc.jsp文件,访问路径是/abc.jsp。

关于jspxcms中怎样使用jsp文件就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

很赞哦!
文件 目录 攻击 内容 就是 更多 过滤器 帮助 不错 安全 兴趣 前缀 只有 后缀 地址 实际 实际上 小伙 小伙伴 常见 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 我们的网络技术怎么样 2020年网络安全行业十大趋势 网络技术高职扩招考什么 龙岗区网络技术进出口平台 数据库时间返回 数据库表被删除了怎么查谁删除的 服务器RL30 高斯数据库是用c吗 怎么查看表的数据库 数据库数据延迟 office数据库功能 湖北网络技术推广 天津嵌入式软件开发推荐 软件开发还是外包 威纶通配方数据库搜索功能 软件开发分部 信息网络安全管理情况汇报 北京万户网络技术公司正规吗 数据库怎么搜条数最快 静安区上门网络技术欢迎选购 终端登录服务器 计算机网络技术就业哪些岗位 英国网络安全政策 济南市市中区网络安全 上传软件的服务器 应用软件开发记录表 北京第三方软件开发如何收费 服务器开启外网访问 绘网络安全画饭圈乱象手抄报模板 服务器内存泄露会有什么后果

相关文章

0