91亚洲精华国内精华精华液_国产高清在线精品一区不卡_精品特级一级毛片免费观看_欧美日韩中文制服有码_亚洲精品无码你懂的网站369

Java Server Page（JSP）作為建立動(dòng)態(tài)網(wǎng)頁(yè)的技術(shù)正在不斷升溫。JSP、ASP和PHP工作機(jī)制不太一樣。一般說來，JSP頁(yè)面在執(zhí)行時(shí)是編譯式，而不是解釋式的。首次調(diào)用JSP文件其實(shí)是執(zhí)行一個(gè)編譯為Servlet的過程。當(dāng)瀏覽器向服務(wù)器請(qǐng)求這一個(gè)JSP文件的時(shí)候，服務(wù)器將檢查自上次編譯后JSP文件是否有改變，如果沒有改變，就直接執(zhí)行Servlet，而不用再重新編譯，這樣，效率便得到了明顯提高。

今天我將和大家一起從腳本編程的角度看JSP的安全，那些諸如源碼暴露類的安全隱患就不在這篇文章討論范圍之內(nèi)了。寫這篇文章的主要目的是給初學(xué)JSP編程的朋友們提個(gè)醒，從一開始就要培養(yǎng)安全編程的意識(shí)，不要犯不該犯的錯(cuò)誤，避免可以避免的損失。另外，我也是初學(xué)者，如有錯(cuò)誤或其它意見請(qǐng)發(fā)帖賜教。

一、認(rèn)證不嚴(yán)——低級(jí)失誤

如果要查看、修改某用戶的信息，就要用modifyuser_manager.jsp這個(gè)文件。管理員提交
http://www.somesite.com/yyforum/modifyuser_manager.jsp?modifyid=51就是查看、修改ID為51的用戶的資料（管理員默認(rèn)的用戶ID為51）。但是，如此重要的文件竟缺乏認(rèn)證，普通用戶（包括游客）也直接提交上述請(qǐng)求也可以對(duì)其一覽無余（密碼也是明文存儲(chǔ)、顯示的）。modifyuser_manage.jsp同樣是門戶大開，直到惡意用戶把數(shù)據(jù)更新的操作執(zhí)行完畢，重定向到user_manager.jsp的時(shí)候，他才會(huì)看見那個(gè)姍姍來遲的顯示錯(cuò)誤的頁(yè)面。顯然，只鎖一扇門是遠(yuǎn)遠(yuǎn)不夠的，編程的時(shí)候一定要不厭其煩地為每一個(gè)該加身份認(rèn)證的地方加上身份認(rèn)證。

二、守好JavaBean的入口

JSP組件技術(shù)的核心是被稱為bean的java組件。在程序中可把邏輯控制、數(shù)據(jù)庫(kù)操作放在javabeans組件中，然后在JSP文件中調(diào)用它，這樣可增加程序的清晰度及程序的可重用性。和傳統(tǒng)的ASP或PHP頁(yè)面相比，JSP頁(yè)面是非常簡(jiǎn)潔的，因?yàn)樵S多動(dòng)態(tài)頁(yè)面處理過程可以封裝到JavaBean中。

要改變JavaBean屬性，要用到“＜jsp:setProperty＞”標(biāo)記。

下面的代碼是假想的某電子購(gòu)物系統(tǒng)的源碼的一部分，這個(gè)文件是用來顯示用戶的購(gòu)物框中的信息的，而checkout.jsp是用來結(jié)帳的。

1. ＜jsp:useBean id="myBasket" class="BasketBean"＞  
2. ＜jsp:setProperty name="myBasket" property="*"/＞  
3. ＜jsp:useBean＞  
4. ＜html＞  
5. ＜head＞＜title＞Your Basket＜/title＞＜/head＞  
6. ＜body＞  
7. ＜p＞  
8. You have added the item  
9. ＜jsp::getProperty name="myBasket" property="newItem"/＞  
10. to your basket.  
11. ＜br/＞  
12. Your total is $  
13. ＜jsp::getProperty name="myBasket" property="balance"/＞  
14. Proceed to ＜a href="checkout.jsp"＞checkout＜/a＞  

注意到property="*"了嗎？這表明用戶在可見的JSP頁(yè)面中輸入的，或是直接通過Query String提交的全部變量的值，將存儲(chǔ)到匹配的bean屬性中。

一般，用戶是這樣提交請(qǐng)求的：http://www.somesite.com/ addToBasket.jsp?newItem=ITEM0105342  但是不守規(guī)矩的用戶呢？他們可能會(huì)提交：http://www.somesite.com /addToBasket.jsp?newItem=ITEM0105342&balance=0  這樣，balance=0的信息就被在存儲(chǔ)到了JavaBean中了。當(dāng)他們這時(shí)點(diǎn)擊“chekout”結(jié)賬的時(shí)候，費(fèi)用就全免了。這與PHP中全局變量導(dǎo)致的安全問題如出一轍。由此可見：“property="*"”一定要慎用！

三、長(zhǎng)盛不衰的跨站腳本

跨站腳本（Cross Site Scripting）攻擊是指在遠(yuǎn)程WEB頁(yè)面的HTML代碼中手插入惡意的JavaScript, VBScript, ActiveX, HTML, 或Flash等腳本，竊取瀏覽此頁(yè)面的用戶的隱私，改變用戶的設(shè)置，破壞用戶的數(shù)據(jù)?？缯灸_本攻擊在多數(shù)情況下不會(huì)對(duì)服務(wù)器和WEB程序的運(yùn)行造成影響，但對(duì)客戶端的安全構(gòu)成嚴(yán)重的威脅。

四、時(shí)刻牢記SQL注入

一般的編程書籍在教初學(xué)者的時(shí)候都不注意讓他們從入門時(shí)就培養(yǎng)安全編程的習(xí)慣。著名的《JSP編程思想與實(shí)踐》就是這樣向初學(xué)者示范編寫帶數(shù)據(jù)庫(kù)的登錄系統(tǒng)的（數(shù)據(jù)庫(kù)為MySQL）

五、String對(duì)象帶來的隱患

Java平臺(tái)的確使安全編程更加方便了。Java中無指針，這意味著 Java 程序不再像C那樣能對(duì)地址空間中的任意內(nèi)存位置尋址了。在JSP文件被編譯成 .class 文件時(shí)會(huì)被檢查安全性問題，例如當(dāng)訪問超出數(shù)組大小的數(shù)組元素的嘗試將被拒絕，這在很大程度上避免了緩沖區(qū)溢出攻擊。但是，String對(duì)象卻會(huì)給我們帶來一些安全上的隱患。如果密碼是存儲(chǔ)在 Java String 對(duì)象中的，則直到對(duì)它進(jìn)行垃圾收集或進(jìn)程終止之前，密碼會(huì)一直駐留在內(nèi)存中。即使進(jìn)行了垃圾收集，它仍會(huì)存在于空閑內(nèi)存堆中，直到重用該內(nèi)存空間為止。密碼 String 在內(nèi)存中駐留得越久，遭到竊聽的危險(xiǎn)性就越大。更糟的是，如果實(shí)際內(nèi)存減少，則操作系統(tǒng)會(huì)將這個(gè)密碼 String 換頁(yè)調(diào)度到磁盤的交換空間，因此容易遭受磁盤塊竊聽攻擊。為了將這種泄密的可能性降至最低（但不是消除），您應(yīng)該將密碼存儲(chǔ)在 char 數(shù)組中，并在使用后對(duì)其置零（String 是不可變的，無法對(duì)其置零）。