JSP服务的组建及安全管理

JSP服务的组建及安全管理第14章JSP服务的组建与

安全管理

本章重点介绍如何在现有的Web服务器环境中架设一台JSP服务器。14.1初识JSP服务

JSP(JavaServerPages)技术为创建显示动态生成内容的Web页面提供了一个简捷而快速的方法。JSP技术的设计目的是，使得构造基于Web的应用程序更加容易和快捷，而这些应用程序能够与各种Web服务器、应用服务器、浏览器和开发工具共同工作。关于JSP服务器运行机制如图所示。

14.23种Web服务器环境下

组建JSP服务

本节重点介绍3种架设JSP服务的方法。

所需软件介绍

配置前的准备JSP环境的配置方案

(1)J2SDK：Java2的软件开发工具，是Java应用程序的基础。JSP是基于Java技术的，所以配置JSP环境之前必须要安装J2SDK。(2)Apache服务器：Apache组织开发的一种常用Web服务器，提供Web服务。(3)Tomcat服务器：Apache组织开发的一种JSP引擎，本身具有Web服务器的功能，可以作为独立的Web服务器来使用。但是，在作为Web服务器方面，Tomcat处理静态HTML页面时不如Apache迅速，也没有Apache健壮，所以我们一般将Tomcat与Apache配合使用，让Apache对网站的静态页面请求提供服务；而Tomcat作为专用的JSP引擎，提供JSP解析，以得到更好的性能。并且Tomcat本身就是Apache的一个子项目，所以Tomcat对Apache提供了强有力的支持。对于初学者来说，Tomcat是一个很不错的选择。(4)mod_jk.dll：Apache组织Jakarta项目组开发的使Apache支持Tomcat的插件。有了这个插件，Tomcat能够和Apache进行无缝连接。mod_jk.dll最新的版本为mod_jk_1.2.6_2.0.50.dll。(5)tc4ntiis.zip：Apache组织Jakarta项目组开发的使IIS支持Tomcat的插件。

14.2.1所需软件介绍

14.2.2配置前的准备

准备一个测试用的JSP网页

安装J2SDK

打开【记事本】程序，从中输入代码，并保存为test.jsp(注意扩展名为.jsp)。

不管哪种方案，在安装和配置JSP引擎之前必须先完成J2SDK的安装。安装J2SDK在Windows下，直接运行下载的j2sdk-windows-i586.exe程序，根据安装向导将其安装到一个目录中，如“D:\j2sdk1.4.1”。添加环境变量(1)如果操作系统是Windows98，可以用【记事本】程序直接编辑Autoexec.bat，添加下面命令行：**********************************************************************PATH=%PATH%;D:\j2sdk1.4.2_01\binSETCLASSPATH=D:\j2sdk1.4.2_01\lib\tools.jar**********************************************************************添加完成后，选择【文件】→【保存】命令，然后重新启动计算机，这样所添加的环境变量才会生效。

(2)如果操作系统是Windows2000/XP/2003，操作步骤是：右击【我的电脑】，在弹出的快捷菜单中选择【属性】命令，在【系统属性】窗口中单击【高级】标签，然后单击【环境变量】按钮，弹出【环境变量】对话框，从中单击【新建】按钮将PATH、JAVA_HOME和CLASSPATH三个变量添加到【系统变量】列表框中，变量值同上。

14.2.3JSP环境的配置方案

方案一：J2SDK与Tomcat整合安装Tomcat

配置Tomcat的环境变量测试默认服务方案二：J2SDK+Apache+Tomcat整合

配置Apache整体测试方案三：J2SDK+IIS+Tomcat整合

(1)双击运行Tomcat安装程序jakarta-tomcat-4.1.30.exe，它会自动寻找J2SDK的位置，首先进入用户许可协议对话框，单击IAgree按钮继续下面的操作。(2)选择安装组件，在这里我们就安装默认组件，单击Next按钮继续下面的操作。

(3)选择安装目录：推荐将Tomcat安装到非系统目录下。例如，在这里我们将它安装到d:\Tomcat4.1，单击Next按钮继续下面的操作。(4)接着系统就会进入安装阶段，经过4~7分钟，Tomcat就会完成安装。

(5)当Tomcat安装完成后，安装程序会进入一个配置Tomcat的窗口，在HTTP/1.1ConnectorPort文本框中输入Tomcat连接端口，默认端口为8080，此端口就是客户端在浏览器中访问JSP程序所用的端口。在AdministratorLogin选项组中的UserName、Password文本框中输入通过浏览器远程管理Tomcat的用户名和密码。此步设置完成后，即可退出Tomcat安装程序。

右击【我的电脑】，在弹出的快捷菜单中选择【属性】命令，在【系统属性】对话框中单击【高级】标签，然后单击【环境变量】按钮，弹出【环境变量】对话框，单击【新建】按钮添加一个新的环境变量名“TOMCAT_HOME”，变量值为“D:\Tomcat4.1”。

(1)双击Tomcat安装目录下的D:\tomcat4.1\bin\startup.bat，启动Tomcat(同目录中的shutdown.bat为关闭Tomcat)。(2)启动Tomcat后，双击打开桌面上的【浏览器】程序，在浏览器的【地址】下拉列表框中输入本地服务器的IP地址及Tomcat所使用的端口“://2:8080”(Tomcat默认端口为8080)。如果在浏览器中看到Tomcat的欢迎界面，表示Tomcat工作正常。

(3)把刚才编写好的test.jsp程序复制到D:\Tomcat4.1\webapps\exles\jsp目录下，然后在浏览器的【地址】下拉列表框中输入:8080/exles/jsp/test.jsp。如果浏览器中显示“HelloWorld！”，则说明JSP环境配置成功。

(1)安装Apache。(2)按照方案一的步骤安装Tomcat，并保证它正常运行。(3)将mod_jk_1.2.6_2.0.50.dll复制到Apache安装目录下的modules目录中，并更名为mod_jk.dll。(4)建立mod_jk模块工作所需要的工作文件。打开文本编辑器，输入下列语句：**********************************************************************workers.tomcat_home=D:\tomcat4.1(让mod_jk模块知道Tomcat)workers.java_home=D:\j2sdk1.4.2_01(让mod_jk模块知道JSDK)ps=\worker.list=ajp13(mod_jk的模块版本)worker.ajp13.port=8009(mod_jk的工作端口)worker.ajp13.host=localhostworker.ajp13.type=ajp13worker.ajp13.lbfactor=1**********************************************************************

(1)将index.jsp设置为默认打开页。查找“DirectoryIndex”，在“index.html.var”后面再添加“index.jsp”。(2)在d.conf的最后加入下面这段代码，“#”后面的文字为解释语句，服务器将其忽略。添加完毕后选择【文件】→【保存】命令，对所刚才所作的修改进行保存。

将test.jsp程序复制到D:\Tomcat4.1\webapps\exles\jsp目录下。打开【浏览器】程序，在浏览器的【地址】下拉列表框中输入“://2/exles/jsp/test.jsp”，如果浏览器中出现HelloWorld！，就表明Apache和Tomcat整合成功。

(1)按照方案一的步骤安装Tomcat，并保证它正常运行。(2)将下载的tc4ntiis.zip直接解压缩到f:\tomcat4目录下。查看配置所需要的文件，确保它们在以下位置：D:\Tomcat4.1\server\lib\ajp.jarD:\Tomcat4.1\server\lib\tomcat-util.jarD:\Tomcat4.1\bin\native\isapi_redirect.dllD:\Tomcat4.1\conf\ntiis\pertiesD:\Tomcat4.1\conf\ntiis\pertiesD:\Tomcat4.1\conf\ntiis\iis_redirect.regD:\Tomcat4.1\log\iis_redirect.log

(3)用文本编辑器打开D:\Tomcat4.1\conf\ntiis\perties，修改下列值：**********************************************************************workers.tomcat_home=D:\tomcat4.1**********************************************************************

(4)双击运行D:\Tomcat4.1\conf\ntiis\iis_redirect.reg，将此注册文件内的信息添加到注册表中，但是要修改log_file、worker_file、worker_mount_file这3个键的键值，以适合你的环境(比如本文中的Tomcat安装在D:\Tomcat4.1目录下，而不是默认的C:\tomcat4)。(5)打开“Internet信息服务”窗口，在默认站点上添加一个新的虚拟目录，名称为“jakarta”。将这个虚拟目录指向D:\Tomcat4.1\bin\native，并启动该默认站点。

14.3打造安全的JSP服务

本节重点对JSP安全问题进行分类阐述和提出解决的建议。当网络编程越来越方便、系统功能越来越强大时，安全性却成指数倍地下降。这恐怕就是网络编程的不幸和悲哀了。自从推出之日起，JSP编程语言由于它的快速、平台无关、可扩展、面向对象等特性得到了越来越广泛的应用，越来越多的厂家开发出了各种各样的支持平台，也有越来越多的网站开始将自己的平台架构在JSP环境中。但是随之而来的就是一系列的安全漏洞问题，如源代码暴露漏洞、远程任意命令执行漏洞等，更为头疼的是，随着JSP越来越广泛的应用，安全问题也越来越多。源代码暴露类远程程序执行类其他类别

源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者。解决办法如下：(1)在服务器软件的网站上下载补丁。(2)IIS以前一个有效解决ASP的漏洞就是将ASP程序单独放置于一个目录中，将目录用户的权限设置为只能执行不能读取。在JSP环境下同样可以通过设置服务器的环境来解决这个问题