如何在Web項目中保護JSP源代碼不被未經(jīng)授權的訪問和窺視？基于不同的功能JSP被放置在不同的目錄下這種方法的問題是這些頁面文件容易被偷看到源代碼，或被直接調(diào)用。某些場合下這可能不是個大問題，可是在特

如何在Web項目中保護JSP源代碼不被未經(jīng)授權的訪問和窺視？

基于不同的功能JSP被放置在不同的目錄下這種方法的問題是這些頁面文件容易被偷看到源代碼，或被直接調(diào)用。某些場合下這可能不是個大問題，可是在特定情形中卻可能構成安全隱患。用戶可以繞過Struts的controller直接調(diào)用JSP同樣也是個問題。為了減少風險，可以把這些頁面文件移到WEB-INF目錄下?；赟ervlet的聲明，WEB-INF不作為Web應用的公共文檔樹的一部分。因此，WEB-INF目錄下的資源不是為客戶直接服務的。我們?nèi)匀豢梢允褂肳EB-INF目錄下的JSP頁面來提供視圖給客戶，客戶卻不能直接請求訪問JSP。如果把這些JSP頁面文件移到WEB-INF目錄下，在調(diào)用頁面的時候就必須把”WEB-INF”添加到URL中。例如，在一個Struts配置文件中為一個logoffaction寫一個Actionmapping。其中JSP的路徑必須以”WEB-INF”開頭。