jspとサーブレットの保護に関する問題が発生しました。誰かがページソースを閲覧すると、表示されてはならないjspページのサインアウトリンクを表示できます。たとえば、誰かがページソースを表示すると、a href = "signout.jsp"と書かれていますが、安全ではないと思うし、誰かがそのサインアウトリンクをクリックすると自動的にセッションが無効になりますが、 。誰かがページソースを表示しようとすると、そのような合理的なリンクを表示できないように、jspページを保護するにはどうすればよいですか?どんな助けもありがとうございます。サーブレットとjspの保護
誰かがページソースを表示しようとすると、そのような賢明なリンクを表示できないように、jspページを保護するにはどうすればよいですか?
できません。リンクはHTML(または何か他のもの)の中にユーザのブラウザに配信されなければならず、人間がそれを保持するのを防ぐことはできません。
正しい戦略は、有害なリクエストが使用されるべきではないときに実行されると思われるサーバー側のチェックを実装することです。たとえば、特定の要求は、ログインしているユーザー、管理者などに限定する必要があります。
しかし、この場合、ユーザーがログアウトする際の苦情は何ですか?あなたがそれを防止しようとすると、ユーザーは単にブラウザを閉じて、彼のPCをオフにして離れて行くことができます。
は、どのように私は、ページのソースを暗号化することができますか?
同意です。できません。ユーザーのブラウザは、ソースを表示するために暗号化されていない形式でソースを参照する必要があります。サーバーの応答はユーザーのマシン上で実行されているプログラムに渡され、ユーザーが望むようにプログラミングを停止することはできません。それには、ユーザーにページのソースを暗号化されていない形式で表示することも含まれます。
@stephen .......私は幸せです。 – sujit
ブラウザに印刷するhtmlは、その意味では安全ではありません。
もう一度、signout.jspを表示するには完全に安全です。私は本当にそれに問題はありません。なぜそれが危険だと思いますか?
サインアウトがある場合は、おそらくサインアウトすることです!あなたがそれをクリックすると、サインアウトされるはずです。
@sid ...返信いただきありがとうございますが、ページソースをどのように暗号化できますか教えてください。ページソースが暗号化されている場合はサイトのページソースをクリックするので、ハッカーはHTMLやその他のものが含まれているかどうか簡単に推測できません。それでどうすればそれを守ることができますか? – sujit
上記のメイン質問スレッドのコメントをご覧ください。あなたはその目的のために独自のブラウザを実装する必要があります。ブラウザは一般的なものなので、あなたのために特別にしたいことはできません。あなたが共有キーを使ってサーバ上で暗号化されたメッセージを復号化する何らかのアドオンを追加しない限り、 VPNは通常、この種のものを世話して、目を覗かせないようにします。 –
@sid ....あなたの助けてくれてありがとう..もしそれが安全ならば、私は幸せです。皆様に感謝します。 – sujit
あなたは間違っています:リンクを表示することは安全ではありません。
リソースに感知可能なデータを表示することは危険ですが、ログアウトリンクは完全に無害です。
ログイン/ログアウトリンクを表示することをお勧めします。
GoogleがGmailでログアウトリンクを隠していた場合を考えてみましょう。
@Jean ...ログアウトを表示するのは良い習慣です。私はページソースを表示している間にログアウトリンクを表示していましたが、誰かがページソースのログアウトリンクを見ると有害な影響はないと思いますそれは単にサインアウトにつながる。 – sujit
何が危険ですか?彼らはどんな害をもたらすことができますか? – duffymo
私は知らないけど、ログイン後に任意のサイトのページソースを表示しているときにログアウトリンクが表示されないように思えるようになると思います。どのように私はページソースを暗号化できますか? – sujit
あなたはそのようなリンクを与えない限り、他にどのようにサインアウトする予定ですか? – DaveRlz