日期:2014-05-17  浏览次数:20666 次

jsp页面可以使用内置对象,那岂不是很危险
在jsp页面中可以用<% ... %>这标签控制代码
那么我登陆后,将自己的session属性改为管理员,然后做恶意操作

这样不是很危险么?
抱着这样的想法,我去搜索了用java语言编写的网站
听说京东也是用java语言,打开他们的商品网页显示是html后缀
不过用静态网页确实比较安全呢~可是他们是怎么做的?


------解决方案--------------------
是的,有些网可以通过模拟登陆的方式,进入自己的页面修改用户权限。
不过一般大的网站都会设置相应的安全措施,比如登陆设置验证码、安全证书、在表单中添加隐藏域等。。
至于楼主说的静态化,在安全方面作用有,但是不是很大。静态化的作用最大还是提高访问的效率、减轻服务器访问数据库负担,还有比如爬虫能很快捕捉到等等。。。
静态化用urlrewrite技术可以实现。。

------解决方案--------------------
session是存在于server端的web容器(java容器)中的,驻留在server的内存中, 你怎么进入server端并改写内存?
------解决方案--------------------
引用:
Quote: 引用:

我登陆后,将自己的session属性改为管理员
求教怎么操作!!!


抓取服务器端发送的资源,找到身份信息的session
再用set属性的方法改变 不可以么

比如对象 tbuser 登陆后存在在session中,用抓包软件抓取这个会话对象,得知名字是loginuser
然后
<% TbUser u=session.getP...("loginuser"); 
       u.setType(1);//假设type是管理员标识列
     ...//然后再把这个对象存回去
    
%>

首先 你要知道实体是啥,其次,你要知道管理员标识是啥...