日期:2014-05-20  浏览次数:20805 次

防止用户在地址栏瞎敲
现在有个web工程, 目录下有web/admin/video 三等目录
 
 防止用户在地址栏敲入http://localhost:8080/web/admin 看到所有admin目录下的所有jsp页面

 请问怎么办好?

------解决方案--------------------
在项目web.xml中配置欢迎列表
<!-- The Usual Welcome File List -->
<welcome-file-list>
<welcome-file>login.jsp</welcome-file>
</welcome-file-list>

在 程序的页面中

String type = (String)session.getAttribute("suType");

if(type==null){
response.sendRedirect("/netcom/login.jsp");
}


这个方法有点古老的。
------解决方案--------------------
admin里面的内容都是固定的用户才能访问的
你可以先设置session,如果有用户登陆,就把用户信息录入到session中
如果没有用户登陆,那session就为空。
然后再判断session的值,如果是管理员账户信息,则允许进入admin目录,如果session为空或者用户信息不为管理员信息,则强制跳转到一个自定义的错误页面
------解决方案--------------------
给你贴代码,你自己看吧,建议看看filter的东西
Java code

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class LogonFilter implements Filter {

    private static final String LOGON_URI = "LOGON_URI";

    private static final String HOME_URI = "HOME_URI";

    private String logon_page;

    private String home_page;

    public void destroy() {
        // TODO Auto-generated method stub
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        HttpServletRequest httpReq = (HttpServletRequest) request;
        HttpServletResponse httpResp = (HttpServletResponse) response;
        httpResp.setContentType("text/html");
        httpResp.setCharacterEncoding("utf-8");
        HttpSession session = httpReq.getSession();
        PrintWriter out = httpResp.getWriter();
        // 得到用户请求的URI
        String request_uri = httpReq.getRequestURI();
        // 得到web应用程序的上下文路径
        String ctxPath = httpReq.getContextPath();
        // 去除上下文路径,得到剩余部分的路径
        String uri = request_uri.substring(ctxPath.length());
        // 判断用户访问的是否是登录页面
        if (uri.equals(logon_page) || uri.equals(home_page)) {
            chain.doFilter(request, response);
            return;
        } else {
            // 如果访问的不是登录页面,则判断用户是否已经登录
            if (session.getAttribute("user") != "" && session.getAttribute("user") != null) {
                chain.doFilter(request, response);
                return;
            } else {
                out.println("<script language=\"javaScript\">"
                                + "parent.location.href='"+ctxPath+logon_page+"'" 
                                + "</script>");
                //httpReq.getRequestDispatcher(logon_page).forward(httpReq,httpResp);
                return;
            }
        }
    }

    public void init(FilterConfig config) throws ServletException {
        // TODO Auto-generated method stub
        // 从部署描述符中获取登录页面和首页的URI
        logon_page = config.getInitParameter(LOGON_URI);
        home_page = config.getInitParameter(HOME_URI);
        // System.out.println(logon_page);
        if (null == logon_page || null == home_page) {
            throw new ServletException("没有找到登录页面或主页");
        }
    }

}

------解决方案--------------------
啥跟啥啊! tomcat 自己有配置防范这个
请教大大们,怎样防止TomCat暴露服务器路径? 文件列表