ぬるぽなプログラマ:ブラウザからのJSP直接要求を防ぐには - livedoor Blog(ブログ)
Strutsを利用したようなMVCのWebシステムでは、通常ブラウザからのリクエストをServletが受け取り、ビジネスロジックにディスパッチした後、JSPに制御を渡し出力画面を生成する。 この場合、ブラウザから直接JSPのURLを指定し、リクエストすると予期せぬ事態が発生することがある。 これを防ぐための方法をメモしておく。 [方法1] ・ブラウザから直接起動させたくないJSPをWEB-INFフォルダ内に置く。 [方法2] ・Webアプリケーションweb.xmlファイルで以下のように<auth-constraint>要素内にロールを何も指定しなければ、JSPに直接リクエストできなくなる。 <security-constraint> <web-resource-collection> <web-resource-name6gt;JSP protected</web-resource-nam
Adopting Struts 2.0
Adopting Struts 2.0 The framework for the next generation of Java Web applications While the Struts framework has been widely deployed, there's no doubt that its original version held room for improvement. The newly released Struts 2.0 carries much of the power of its predecessor but is simpler for developers to use. In this article, S. Sangeetha and S. V. Subrahmanya outline the changes in Struts
適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT
Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、本連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、本連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
