千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 开发技术 >

jspxcms中怎样使用jsp文件

发表于:2025-11-08 作者:千家信息网编辑
千家信息网最后更新 2025年11月08日,这篇文章给大家介绍jspxcms中怎样使用jsp文件,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。系统中默认禁止jsp的访问。允许jsp访问容易导致一些漏洞,最为常见的攻击方式是
千家信息网最后更新 2025年11月08日jspxcms中怎样使用jsp文件

这篇文章给大家介绍jspxcms中怎样使用jsp文件,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

系统中默认禁止jsp的访问。允许jsp访问容易导致一些漏洞,最为常见的攻击方式是通过上传jsp文件获取webshell。

在com.jspxcms.core.ShiroConfig中定义了对jsp jspx后缀的过滤。

    @Bean    public FilterRegistrationBean jspDispatcherFilterRegistrationBean() {        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();        filterRegistration.setFilter(new JspDispatcherFilter());        filterRegistration.setEnabled(true);        filterRegistration.addInitParameter("prefix", "/jsp");        filterRegistration.addUrlPatterns("*.jsp");        filterRegistration.addUrlPatterns("*.jspx");        filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);        return filterRegistration;    }

其中com.jspxcms.common.web.JspDispatcherFilter就是过滤器。

    /**     * 是否允许访问 JSP 或 JSPX 文件。默认 false 。     */    private boolean allowed = false;    /**     * 请求转发地址前缀。只允许特定目录的 jsp(jspx) 允许被访问。默认为 /jsp 。比如访问 /abc.jsp 通过请求转发实际上访问的文件为 /jsp/abc.jsp 。     */    private String prefix = "/jsp";    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {        if (!allowed) {            ((HttpServletResponse) response).sendError(HttpServletResponse.SC_FORBIDDEN, "JSP Access Denied");            return;        }        HttpServletRequest req = (HttpServletRequest) request;        String uri = req.getRequestURI();        String ctx = req.getContextPath();        if (StringUtils.isNotBlank(ctx)) {            uri = uri.substring(ctx.length());        }        request.getRequestDispatcher(prefix + uri).forward(request, response);    }    public void init(FilterConfig filterConfig) throws ServletException {        String allowed = filterConfig.getInitParameter("allowed");        if ("true".equals(allowed)) {            this.allowed = true;        }        String prefix = filterConfig.getInitParameter("prefix");        if (StringUtils.isNotBlank(prefix)) {            this.prefix = prefix;        }    }

在这个过滤器中默认不允许任何jsp的直接访问。但对于某些一定需要使用jsp的情况,预留了一个相对安全的访问jsp的方法。就是所有的jsp请求,都转发到/jsp目录下,这防止了攻击者将jsp文件上传到uploads等目录导致的攻击。因为只有上传到/jsp目录的jsp文件才能被访问。

可以修改JspDispatcherFilter的private boolean allowed = true;。然后将jsp文件放到/jsp目录中。比如创建/jsp/abc.jsp文件,访问路径是/abc.jsp。

关于jspxcms中怎样使用jsp文件就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

很赞哦!
文件 目录 攻击 内容 就是 更多 过滤器 帮助 不错 安全 兴趣 前缀 只有 后缀 地址 实际 实际上 小伙 小伙伴 常见 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 卡普空网络技术 如何提高互联网网络安全实力 企业服务器机房维修 大庆bim软件开发工程 数据库系统可分为哪几个阶段 02141计算机网络技术PDF 奶块游戏哪个服务器最热闹 保护网络技术 ubuntu安装ftp服务器 怎么玩守望先锋其他服务器 钉钉服务器崩溃后官方回复 软件开发技术的重要意义 福建企业软件开发出厂价格 小企业 文件服务器 刘翔唱歌软件开发 新疆关于网络安全的内容 做软件开发需要系统学的东西 cloud 服务器 中国商业广告数据库 发邮件数据写不进数据库原因 广州电商软件开发价格 es数据库查询今日数据 idea uml 数据库 怎样使用数据库的语言 网络安全的重要性初中政治 梦幻新诛仙回归找不到服务器 网络安全心得体会短篇 合肥桦汉工控机服务器 asp 文件保存到数据库 怎么登陆局域网服务器

相关文章

0