JSP服務(wù)的組建及安全管理

JSP服務(wù)的組建及安全管理第14章JSP服務(wù)的組建與

安全管理

本章重點(diǎn)介紹如何在現(xiàn)有的Web服務(wù)器環(huán)境中架設(shè)一臺(tái)JSP服務(wù)器。14.1初識(shí)JSP服務(wù)

JSP(JavaServerPages)技術(shù)為創(chuàng)建顯示動(dòng)態(tài)生成內(nèi)容的Web頁(yè)面提供了一個(gè)簡(jiǎn)捷而快速的方法。JSP技術(shù)的設(shè)計(jì)目的是，使得構(gòu)造基于Web的應(yīng)用程序更加容易和快捷，而這些應(yīng)用程序能夠與各種Web服務(wù)器、應(yīng)用服務(wù)器、瀏覽器和開發(fā)工具共同工作。關(guān)于JSP服務(wù)器運(yùn)行機(jī)制如圖所示。

14.23種Web服務(wù)器環(huán)境下

組建JSP服務(wù)

本節(jié)重點(diǎn)介紹3種架設(shè)JSP服務(wù)的方法。

所需軟件介紹

配置前的準(zhǔn)備JSP環(huán)境的配置方案

(1)J2SDK：Java2的軟件開發(fā)工具，是Java應(yīng)用程序的基礎(chǔ)。JSP是基于Java技術(shù)的，所以配置JSP環(huán)境之前必須要安裝J2SDK。(2)Apache服務(wù)器：Apache組織開發(fā)的一種常用Web服務(wù)器，提供Web服務(wù)。(3)Tomcat服務(wù)器：Apache組織開發(fā)的一種JSP引擎，本身具有Web服務(wù)器的功能，可以作為獨(dú)立的Web服務(wù)器來使用。但是，在作為Web服務(wù)器方面，Tomcat處理靜態(tài)HTML頁(yè)面時(shí)不如Apache迅速，也沒有Apache健壯，所以我們一般將Tomcat與Apache配合使用，讓Apache對(duì)網(wǎng)站的靜態(tài)頁(yè)面請(qǐng)求提供服務(wù)；而Tomcat作為專用的JSP引擎，提供JSP解析，以得到更好的性能。并且Tomcat本身就是Apache的一個(gè)子項(xiàng)目，所以Tomcat對(duì)Apache提供了強(qiáng)有力的支持。對(duì)于初學(xué)者來說，Tomcat是一個(gè)很不錯(cuò)的選擇。(4)mod_jk.dll：Apache組織Jakarta項(xiàng)目組開發(fā)的使Apache支持Tomcat的插件。有了這個(gè)插件，Tomcat能夠和Apache進(jìn)行無縫連接。mod_jk.dll最新的版本為mod_jk_1.2.6_2.0.50.dll。(5)tc4ntiis.zip：Apache組織Jakarta項(xiàng)目組開發(fā)的使IIS支持Tomcat的插件。

14.2.1所需軟件介紹

14.2.2配置前的準(zhǔn)備

準(zhǔn)備一個(gè)測(cè)試用的JSP網(wǎng)頁(yè)

安裝J2SDK

打開【記事本】程序，從中輸入代碼，并保存為test.jsp(注意擴(kuò)展名為.jsp)。

不管哪種方案，在安裝和配置JSP引擎之前必須先完成J2SDK的安裝。安裝J2SDK在Windows下，直接運(yùn)行下載的j2sdk-windows-i586.exe程序，根據(jù)安裝向?qū)⑵浒惭b到一個(gè)目錄中，如“D:\j2sdk1.4.1”。添加環(huán)境變量(1)如果操作系統(tǒng)是Windows98，可以用【記事本】程序直接編輯Autoexec.bat，添加下面命令行：**********************************************************************PATH=%PATH%;D:\j2sdk1.4.2_01\binSETCLASSPATH=D:\j2sdk1.4.2_01\lib\tools.jar**********************************************************************添加完成后，選擇【文件】→【保存】命令，然后重新啟動(dòng)計(jì)算機(jī)，這樣所添加的環(huán)境變量才會(huì)生效。

(2)如果操作系統(tǒng)是Windows2000/XP/2003，操作步驟是：右擊【我的電腦】，在彈出的快捷菜單中選擇【屬性】命令，在【系統(tǒng)屬性】窗口中單擊【高級(jí)】標(biāo)簽，然后單擊【環(huán)境變量】按鈕，彈出【環(huán)境變量】對(duì)話框，從中單擊【新建】按鈕將PATH、JAVA_HOME和CLASSPATH三個(gè)變量添加到【系統(tǒng)變量】列表框中，變量值同上。

14.2.3JSP環(huán)境的配置方案

方案一：J2SDK與Tomcat整合安裝Tomcat

配置Tomcat的環(huán)境變量測(cè)試默認(rèn)服務(wù)方案二：J2SDK+Apache+Tomcat整合

配置Apache整體測(cè)試方案三：J2SDK+IIS+Tomcat整合

(1)雙擊運(yùn)行Tomcat安裝程序jakarta-tomcat-4.1.30.exe，它會(huì)自動(dòng)尋找J2SDK的位置，首先進(jìn)入用戶許可協(xié)議對(duì)話框，單擊IAgree按鈕繼續(xù)下面的操作。(2)選擇安裝組件，在這里我們就安裝默認(rèn)組件，單擊Next按鈕繼續(xù)下面的操作。

(3)選擇安裝目錄：推薦將Tomcat安裝到非系統(tǒng)目錄下。例如，在這里我們將它安裝到d:\Tomcat4.1，單擊Next按鈕繼續(xù)下面的操作。(4)接著系統(tǒng)就會(huì)進(jìn)入安裝階段，經(jīng)過4~7分鐘，Tomcat就會(huì)完成安裝。

(5)當(dāng)Tomcat安裝完成后，安裝程序會(huì)進(jìn)入一個(gè)配置Tomcat的窗口，在HTTP/1.1ConnectorPort文本框中輸入Tomcat連接端口，默認(rèn)端口為8080，此端口就是客戶端在瀏覽器中訪問JSP程序所用的端口。在AdministratorLogin選項(xiàng)組中的UserName、Password文本框中輸入通過瀏覽器遠(yuǎn)程管理Tomcat的用戶名和密碼。此步設(shè)置完成后，即可退出Tomcat安裝程序。

右擊【我的電腦】，在彈出的快捷菜單中選擇【屬性】命令，在【系統(tǒng)屬性】對(duì)話框中單擊【高級(jí)】標(biāo)簽，然后單擊【環(huán)境變量】按鈕，彈出【環(huán)境變量】對(duì)話框，單擊【新建】按鈕添加一個(gè)新的環(huán)境變量名“TOMCAT_HOME”，變量值為“D:\Tomcat4.1”。

(1)雙擊Tomcat安裝目錄下的D:\tomcat4.1\bin\startup.bat，啟動(dòng)Tomcat(同目錄中的shutdown.bat為關(guān)閉Tomcat)。(2)啟動(dòng)Tomcat后，雙擊打開桌面上的【瀏覽器】程序，在瀏覽器的【地址】下拉列表框中輸入本地服務(wù)器的IP地址及Tomcat所使用的端口“://2:8080”(Tomcat默認(rèn)端口為8080)。如果在瀏覽器中看到Tomcat的歡迎界面，表示Tomcat工作正常。

(3)把剛才編寫好的test.jsp程序復(fù)制到D:\Tomcat4.1\webapps\exles\jsp目錄下，然后在瀏覽器的【地址】下拉列表框中輸入:8080/exles/jsp/test.jsp。如果瀏覽器中顯示“HelloWorld！”，則說明JSP環(huán)境配置成功。

(1)安裝Apache。(2)按照方案一的步驟安裝Tomcat，并保證它正常運(yùn)行。(3)將mod_jk_1.2.6_2.0.50.dll復(fù)制到Apache安裝目錄下的modules目錄中，并更名為mod_jk.dll。(4)建立mod_jk模塊工作所需要的工作文件。打開文本編輯器，輸入下列語(yǔ)句：**********************************************************************workers.tomcat_home=D:\tomcat4.1(讓mod_jk模塊知道Tomcat)workers.java_home=D:\j2sdk1.4.2_01(讓mod_jk模塊知道JSDK)ps=\worker.list=ajp13(mod_jk的模塊版本)worker.ajp13.port=8009(mod_jk的工作端口)worker.ajp13.host=localhostworker.ajp13.type=ajp13worker.ajp13.lbfactor=1**********************************************************************

(1)將index.jsp設(shè)置為默認(rèn)打開頁(yè)。查找“DirectoryIndex”，在“index.html.var”后面再添加“index.jsp”。(2)在d.conf的最后加入下面這段代碼，“#”后面的文字為解釋語(yǔ)句，服務(wù)器將其忽略。添加完畢后選擇【文件】→【保存】命令，對(duì)所剛才所作的修改進(jìn)行保存。

將test.jsp程序復(fù)制到D:\Tomcat4.1\webapps\exles\jsp目錄下。打開【瀏覽器】程序，在瀏覽器的【地址】下拉列表框中輸入“://2/exles/jsp/test.jsp”，如果瀏覽器中出現(xiàn)HelloWorld！，就表明Apache和Tomcat整合成功。

(1)按照方案一的步驟安裝Tomcat，并保證它正常運(yùn)行。(2)將下載的tc4ntiis.zip直接解壓縮到f:\tomcat4目錄下。查看配置所需要的文件，確保它們?cè)谝韵挛恢茫篋:\Tomcat4.1\server\lib\ajp.jarD:\Tomcat4.1\server\lib\tomcat-util.jarD:\Tomcat4.1\bin\native\isapi_redirect.dllD:\Tomcat4.1\conf\ntiis\pertiesD:\Tomcat4.1\conf\ntiis\pertiesD:\Tomcat4.1\conf\ntiis\iis_redirect.regD:\Tomcat4.1\log\iis_redirect.log

(3)用文本編輯器打開D:\Tomcat4.1\conf\ntiis\perties，修改下列值：**********************************************************************workers.tomcat_home=D:\tomcat4.1**********************************************************************

(4)雙擊運(yùn)行D:\Tomcat4.1\conf\ntiis\iis_redirect.reg，將此注冊(cè)文件內(nèi)的信息添加到注冊(cè)表中，但是要修改log_file、worker_file、worker_mount_file這3個(gè)鍵的鍵值，以適合你的環(huán)境(比如本文中的Tomcat安裝在D:\Tomcat4.1目錄下，而不是默認(rèn)的C:\tomcat4)。(5)打開“Internet信息服務(wù)”窗口，在默認(rèn)站點(diǎn)上添加一個(gè)新的虛擬目錄，名稱為“jakarta”。將這個(gè)虛擬目錄指向D:\Tomcat4.1\bin\native，并啟動(dòng)該默認(rèn)站點(diǎn)。

14.3打造安全的JSP服務(wù)

本節(jié)重點(diǎn)對(duì)JSP安全問題進(jìn)行分類闡述和提出解決的建議。當(dāng)網(wǎng)絡(luò)編程越來越方便、系統(tǒng)功能越來越強(qiáng)大時(shí)，安全性卻成指數(shù)倍地下降。這恐怕就是網(wǎng)絡(luò)編程的不幸和悲哀了。自從推出之日起，JSP編程語(yǔ)言由于它的快速、平臺(tái)無關(guān)、可擴(kuò)展、面向?qū)ο蟮忍匦缘玫搅嗽絹碓綇V泛的應(yīng)用，越來越多的廠家開發(fā)出了各種各樣的支持平臺(tái)，也有越來越多的網(wǎng)站開始將自己的平臺(tái)架構(gòu)在JSP環(huán)境中。但是隨之而來的就是一系列的安全漏洞問題，如源代碼暴露漏洞、遠(yuǎn)程任意命令執(zhí)行漏洞等，更為頭疼的是，隨著JSP越來越廣泛的應(yīng)用，安全問題也越來越多。源代碼暴露類遠(yuǎn)程程序執(zhí)行類其他類別

源代碼暴露類別主要指的是程序源代碼會(huì)以明文的方式返回給訪問者。解決辦法如下：(1)在服務(wù)器軟件的網(wǎng)站上下載補(bǔ)丁。(2)IIS以前一個(gè)有效解決ASP的漏洞就是將ASP程序單獨(dú)放置于一個(gè)目錄中，將目錄用戶的權(quán)限設(shè)置為只能執(zhí)行不能讀取。在JSP環(huán)境下同樣可以通過設(shè)置服務(wù)器的環(huán)境來解決這個(gè)問題