1、第14章 JSP服務(wù)的組建與安全管理,本章重點(diǎn)介紹如何在現(xiàn)有的Web服務(wù)器環(huán)境中架設(shè)一臺(tái)JSP服務(wù)器。,14.1 初識(shí)JSP服務(wù),JSP (Java Server Pages)技術(shù)為創(chuàng)建顯示動(dòng)態(tài)生成內(nèi)容的Web頁(yè)面提供了一個(gè)簡(jiǎn)捷而快速的方法。JSP技術(shù)的設(shè)計(jì)目的是，使得構(gòu)造基于Web的應(yīng)用程序更加容易和快捷，而這些應(yīng)用程序能夠與各種Web服務(wù)器、應(yīng)用服務(wù)器、瀏覽器和開(kāi)發(fā)工具共同工作。關(guān)于JSP服務(wù)器運(yùn)行機(jī)制如圖所示。,14.2 3種Web服務(wù)器環(huán)境下組建JSP服務(wù),本節(jié)重點(diǎn)介紹3種架設(shè)JSP服務(wù)的方法。 所需軟件介紹 配置前的準(zhǔn)備 JSP環(huán)境的配置方案,(1) J2SDK：Java2的軟件開(kāi)發(fā)

2、工具，是Java應(yīng)用程序的基礎(chǔ)。JSP是基于Java技術(shù)的，所以配置JSP環(huán)境之前必須要安裝J2SDK。 (2) Apache服務(wù)器：Apache組織開(kāi)發(fā)的一種常用Web服務(wù)器，提供Web服務(wù)。 (3) Tomcat服務(wù)器：Apache組織開(kāi)發(fā)的一種JSP引擎，本身具有Web服務(wù)器的功能，可以作為獨(dú)立的Web服務(wù)器來(lái)使用。但是，在作為Web服務(wù)器方面，Tomcat處理靜態(tài)HTML頁(yè)面時(shí)不如Apache迅速，也沒(méi)有Apache健壯，所以我們一般將Tomcat與Apache配合使用，讓Apache對(duì)網(wǎng)站的靜態(tài)頁(yè)面請(qǐng)求提供服務(wù)；而Tomcat作為專用的JSP引擎，提供JSP解析，以得到更好的性能。并

3、且Tomcat本身就是Apache的一個(gè)子項(xiàng)目，所以Tomcat對(duì)Apache提供了強(qiáng)有力的支持。對(duì)于初學(xué)者來(lái)說(shuō)，Tomcat是一個(gè)很不錯(cuò)的選擇。 (4) mod_jk.dll：Apache組織Jakarta項(xiàng)目組開(kāi)發(fā)的使Apache支持Tomcat的插件。有了這個(gè)插件，Tomcat能夠和Apache進(jìn)行無(wú)縫連接。mod_jk.dll最新的版本為.0.50.dll。 (5) tc4ntiis.zip：Apache組織Jakarta項(xiàng)目組開(kāi)發(fā)的使IIS支持Tomcat的插件。,所需軟件介紹,配置前的準(zhǔn)備,準(zhǔn)備一個(gè)測(cè)試用的JSP網(wǎng)頁(yè) 安裝J2SDK,打開(kāi)【記事本】程序，從中輸入代碼，并保存為tes

4、t.jsp(注意擴(kuò)展名為.jsp) 。,不管哪種方案，在安裝和配置JSP引擎之前必須先完成J2SDK的安裝。 安裝J2SDK 在Windows下，直接運(yùn)行下載的j2sdk-windows-i586.exe程序，根據(jù)安裝向?qū)⑵浒惭b到一個(gè)目錄中，如“D:j2sdk ”。 添加環(huán)境變量 (1) 如果操作系統(tǒng)是Windows 98，可以用【記事本】程序直接編輯Autoexec.bat，添加下面命令行： * PATH=%PATH%;D:01bin SET JAVA_HOME=D:01 SET CLASSPATH=D:01libtools.jar * 添加完成后，選擇【文件】【保存】命令，然后重新啟動(dòng)計(jì)

5、算機(jī)，這樣所添加的環(huán)境變量才會(huì)生效。,(2) 如果操作系統(tǒng)是Windows 2000/XP/2003，操作步驟是：右擊【我的電腦】，在彈出的快捷菜單中選擇【屬性】命令，在【系統(tǒng)屬性】窗口中單擊【高級(jí)】標(biāo)簽，然后單擊【環(huán)境變量】按鈕， 彈出【環(huán)境變量】對(duì)話框，從中單擊【新建】按鈕將PATH、JAVA_HOME和CLASSPATH三個(gè)變量添加到【系統(tǒng)變量】列表框中，變量值同上。,JSP環(huán)境的配置方案,方案一：J2SDK與Tomcat整合 安裝Tomcat 配置Tomcat的環(huán)境變量 測(cè)試默認(rèn)服務(wù) 方案二：J2SDK+Apache+Tomcat整合 配置Apache 整體測(cè)試 方案三：J2SDK+I

6、IS+Tomcat整合,(1) 雙擊運(yùn)行Tomcat安裝程序jakarta-tomcat-0.exe，它會(huì)自動(dòng)尋找J2SDK的位置，首先進(jìn)入用戶許可協(xié)議對(duì)話框，單擊I Agree按鈕繼續(xù)下面的操作。 (2) 選擇安裝組件，在這里我們就安裝默認(rèn)組件，單擊Next按鈕繼續(xù)下面的操作。,(3) 選擇安裝目錄：推薦將Tomcat安裝到非系統(tǒng)目錄下。例如，在這里我們將它安裝到d:Tomcat4.1，單擊Next按鈕繼續(xù)下面的操作。 (4) 接著系統(tǒng)就會(huì)進(jìn)入安裝階段，經(jīng)過(guò)47分鐘，Tomcat就會(huì)完成安裝。,(5) 當(dāng)Tomcat安裝完成后，安裝程序會(huì)進(jìn)入一個(gè)配置Tomcat的窗口，在HTTP/1.1 C

7、onnector Port文本框中輸入Tomcat連接端口，默認(rèn)端口為8080，此端口就是客戶端在瀏覽器中訪問(wèn)JSP程序所用的端口。在Administrator Login選項(xiàng)組中的User Name、Password文本框中輸入通過(guò)瀏覽器遠(yuǎn)程管理Tomcat的用戶名和密碼。此步設(shè)置完成后，即可退出Tomcat安裝程序。,右擊【我的電腦】，在彈出的快捷菜單中選擇【屬性】命令，在【系統(tǒng)屬性】對(duì)話框中單擊【高級(jí)】標(biāo)簽，然后單擊【環(huán)境變量】按鈕， 彈出【環(huán)境變量】對(duì)話框，單擊【新建】按鈕添加一個(gè)新的環(huán)境變量名“TOMCAT_HOME”，變量值為“D:Tomcat4.1” 。,(1) 雙擊Tomcat

8、安裝目錄下的D:，啟動(dòng)Tomcat(同目錄中的shutdown.bat為關(guān)閉Tomcat)。 (2) 啟動(dòng)Tomcat后，雙擊打開(kāi)桌面上的【瀏覽器】程序，在瀏覽器的【地址】下拉列表框中輸入本地服務(wù)器的IP地址及Tomcat所使用的端口“.12:8080”(Tomcat默認(rèn)端口為8080)。如果在瀏覽器中看到Tomcat的歡迎界面，表示Tomcat工作正常。,(3) 把剛才編寫好的test.jsp程序復(fù)制到D:Tomcat4.1webappsexamples jsp目錄下，然后在瀏覽器的【地址】下拉列表框中輸入.12: 8080/examples /jsp/test.jsp。如果瀏覽器中顯示“H

9、ello World！”，則說(shuō)明JSP環(huán)境配置成功。,(1) 安裝Apache。 (2) 按照方案一的步驟安裝Tomcat，并保證它正常運(yùn)行。 (3) 將.0.50.dll復(fù)制到Apache安裝目錄下的modules目錄中，并更名為mod_jk.dll。 (4) 建立mod_jk模塊工作所需要的工作文件。打開(kāi)文本編輯器，輸入下列語(yǔ)句： * workers.tomcat_home=D:tomcat4.1 (讓mod_jk模塊知道Tomcat) workers.java_home=D:01 (讓mod_jk模塊知道JSDK) ps= worker.list=ajp13 (mod_jk的模塊版本)

10、=8009 (mod_jk的工作端口) =localhost =ajp13 =1 *,(1) 將index.jsp設(shè)置為默認(rèn)打開(kāi)頁(yè)。查找“DirectoryIndex”，在“index. html.var”后面再添加“index.jsp” 。 (2) 在httpd.conf的最后加入下面這段代碼，“#”后面的文字為解釋語(yǔ)句，服務(wù)器將其忽略。添加完畢后選擇【文件】【保存】命令，對(duì)所剛才所作的修改進(jìn)行保存。,將test.jsp程序復(fù)制到D:Tomcat4.1webappsexamplesjsp目錄下。打開(kāi)【瀏覽器】程序，在瀏覽器的【地址】下拉列表框中輸入“.12/examples/jsp/test

11、.jsp”，如果瀏覽器中出現(xiàn)Hello World！，就表明Apache和Tomcat整合成功。,(1) 按照方案一的步驟安裝Tomcat，并保證它正常運(yùn)行。 (2) 將下載的tc4ntiis.zip直接解壓縮到f:tomcat4目錄下。查看配置所需要的文件，確保它們?cè)谝韵挛恢茫?D: D:Tomcat4.1serverlibtomcat-util.jar D: D: D: D: D:,(3) 用文本編輯器打開(kāi)D:，修改下列值： * workers.tomcat_home=D:tomcat4.1 workers.java_home=D:01 *,(4) 雙擊運(yùn)行D:，將此注冊(cè)文件內(nèi)的信息添加到

12、注冊(cè)表中，但是要修改log_file、worker_file、worker_mount_file這3個(gè)鍵的鍵值，以適合你的環(huán)境(比如本文中的Tomcat安裝在D:Tomcat4.1目錄下，而不是默認(rèn)的C:tomcat4)。 (5) 打開(kāi)“Internet信息服務(wù)”窗口，在默認(rèn)站點(diǎn)上添加一個(gè)新的虛擬目錄，名稱為“jakarta”。將這個(gè)虛擬目錄指向D:Tomcat4.1binnative，并啟動(dòng)該默認(rèn)站點(diǎn)。,(6) 打開(kāi)【Internet信息服務(wù)】窗口，右擊【】站點(diǎn)名，在彈出的快捷菜單中選擇【屬性】命令，在打開(kāi)的【屬性】對(duì)話框中單擊【ISAPI篩選器】標(biāo)簽，然后單擊【添加】按鈕添加一個(gè)ISAPI

13、篩選器，輸入名字為“Jakarta Redirect”，可執(zhí)行文件路徑為“D:Tomcat4.1bin nativeisapi_redirect.dll” 。最后重新啟動(dòng)IIS服務(wù)，發(fā)現(xiàn)在ISAPI篩選器列表框中 Jakarta Redirect的狀態(tài)是一個(gè)綠色向上的箭，表示運(yùn)行成功。,(6) 打開(kāi)【Internet信息服務(wù)】窗口，右擊【】站點(diǎn)名，在彈出的快捷菜單中選擇【屬性】命令，在打開(kāi)的【屬性】對(duì)話框中單擊【ISAPI篩選器】標(biāo)簽，然后單擊【添加】按鈕添加一個(gè)ISAPI篩選器，輸入名字為“Jakarta Redirect”，可執(zhí)行文件路徑為“D:Tomcat4.1bin nativeisa

14、pi_redirect.dll” 。最后重新啟動(dòng)IIS服務(wù)，發(fā)現(xiàn)在ISAPI篩選器列表框中 Jakarta Redirect的狀態(tài)是一個(gè)綠色向上的箭，表示運(yùn)行成功。 (7) 重新啟動(dòng)IIS和Tomcat。 (8) 整體測(cè)試。將test.jsp程序復(fù)制到D:Tomcat4.1webappsexamples jsp目錄下。打開(kāi)【瀏覽器】程序，在瀏覽器的【地址】下拉列表框中里輸入.12/examples/jsp/test.jsp。如果瀏覽器中出現(xiàn)Hello World！，就表明IIS和Tomcat整合成功。,14.3 打造安全的JSP服務(wù),本節(jié)重點(diǎn)對(duì)JSP安全問(wèn)題進(jìn)行分類闡述和提出解決的建議。 當(dāng)網(wǎng)

15、絡(luò)編程越來(lái)越方便、系統(tǒng)功能越來(lái)越強(qiáng)大時(shí)，安全性卻成指數(shù)倍地下降。這恐怕就是網(wǎng)絡(luò)編程的不幸和悲哀了。自從推出之日起，JSP編程語(yǔ)言由于它的快速、平臺(tái)無(wú)關(guān)、可擴(kuò)展、面向?qū)ο蟮忍匦缘玫搅嗽絹?lái)越廣泛的應(yīng)用，越來(lái)越多的廠家開(kāi)發(fā)出了各種各樣的支持平臺(tái)，也有越來(lái)越多的網(wǎng)站開(kāi)始將自己的平臺(tái)架構(gòu)在JSP環(huán)境中。 但是隨之而來(lái)的就是一系列的安全漏洞問(wèn)題，如源代碼暴露漏洞、遠(yuǎn)程任意命令執(zhí)行漏洞等，更為頭疼的是，隨著JSP越來(lái)越廣泛的應(yīng)用，安全問(wèn)題也越來(lái)越多。 源代碼暴露類 遠(yuǎn)程程序執(zhí)行類 其他類別,源代碼暴露類別主要指的是程序源代碼會(huì)以明文的方式返回給訪問(wèn)者。 解決辦法如下： (1) 在服務(wù)器軟件的網(wǎng)站上下載補(bǔ)丁。

16、 (2) IIS以前一個(gè)有效解決ASP的漏洞就是將ASP程序單獨(dú)放置于一個(gè)目錄中，將目錄用戶的權(quán)限設(shè)置為只能執(zhí)行不能讀取。在JSP環(huán)境下同樣可以通過(guò)設(shè)置服務(wù)器的環(huán)境來(lái)解決這個(gè)問(wèn)題，簡(jiǎn)單的說(shuō)，就是將一些比較重要的目錄如Web-Inf、classes等設(shè)置為訪問(wèn)權(quán)限，不允許讀和取只允許執(zhí)行。以Apache 下解決為例，可以在httpd.conf文件中添加目錄Web-Inf，并設(shè)置Deny from all等屬性。另一種比較笨的解決方法就是，在每個(gè)重要目錄下添加一個(gè)默認(rèn)起始頁(yè)面如Index.htm等，這樣讀取目錄就會(huì)返回給訪問(wèn)者這個(gè)文件。 (3) 找到服務(wù)器軟件的JSP執(zhí)行映射Servlet文件(class為擴(kuò)展名)，將它用JAD軟件反編譯，在反編譯后的源代碼中找到處理Eception的方法，然后將方法中的處理部分全部注釋掉，并將請(qǐng)求導(dǎo)向到一個(gè)自定義的