JWorld@TW the best professional Java site in Taiwan
      註冊 | 登入 | 全文檢索 | 排行榜  

» JWorld@TW » Application Server » Tomcat  

按列印兼容模式列印這個話題 列印話題    把這個話題寄給朋友 寄給朋友   
reply to topicthreaded modego to previous topicgo to next topic
己加入精華區
by browser at 2006-01-09 17:02
本主題所含的標籤
無標籤
作者 請問在Tomcat中要如何於conf/web.xml中設定Filter以限制含有Java.io.File功能之JSP網頁的存取範圍呢? [精華]
remmurds

Monkey D. Luffy



發文: 32
積分: 0
於 2006-01-06 23:33 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
如題
由於小弟我目前正在研究以Tomcat5.0.16架設免費JSP網頁空間的方法
但是對於Java.io.File造成的安全性問題束手無策
可能會有不肖使用者利用具有Java.io.File的JSP網頁取得主機上的檔案路徑
進而取得其他使用者所存放的檔案
甚至存取到整個主機

小弟我的目標是希望限制每個使用者僅能以Java.io.File存取到自身資料夾中的檔案
例如假設存放使用者user的網頁的資料夾目錄為:

C:/webservice/user/public_html/

那麼該使用者若建立了含有Java.io.File功能的JSP
該JSP僅能存取到這個資料夾範圍以內
一旦存取到其他目錄
便以Filter阻止存取

因此我想請問各位先進
要如何利用conf/web.xml設定Filter以限制WebApplication中Java.io.File的存取範圍呢?
還是說有除了Filter以外的其它辦法呢?
謝謝大家~.~


remmurds edited on 2006-01-06 23:44
reply to postreply to post
隨筆網誌:http://reassert.blogspot.com
作者 Re:請問在Tomcat中要如何於conf/web.xml中設定Filter以限制含有Java.io.File功能之JSP網頁的存取範圍呢? [Re:remmurds]
tempo



版主

發文: 645
積分: 7
於 2006-01-07 00:58 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
remmurds wrote:
如題
由於小弟我目前正在研究以Tomcat5.0.16架設免費JSP網頁空間的方法
但是對於Java.io.File造成的安全性問題束手無策
可能會有不肖使用者利用具有Java.io.File的JSP網頁取得主機上的檔案路徑
進而取得其他使用者所存放的檔案
甚至存取到整個主機

小弟我的目標是希望限制每個使用者僅能以Java.io.File存取到自身資料夾中的檔案
例如假設存放使用者user的網頁的資料夾目錄為:

C:/webservice/user/public_html/

那麼該使用者若建立了含有Java.io.File功能的JSP
該JSP僅能存取到這個資料夾範圍以內
一旦存取到其他目錄
便以Filter阻止存取

因此我想請問各位先進
要如何利用conf/web.xml設定Filter以限制WebApplication中Java.io.File的存取範圍呢?
還是說有除了Filter以外的其它辦法呢?
謝謝大家~.~

Filter 應該是沒有辦法設定 java.io.File 的存取方式吧?
感覺起來應該是要透過 jvm 的 policy 來設定, 或是透過作業系統的檔案權限來管理..


reply to postreply to post
Welcome to: gamelet.com
and my blog: www.pocketshark.com/blog/page/tempo
作者 Re:請問在Tomcat中要如何於conf/web.xml中設定Filter以限制含有Java.io.File功能之JSP網頁的存取範圍呢? [Re:remmurds]
remmurds

Monkey D. Luffy



發文: 32
積分: 0
於 2006-01-09 15:58 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
感謝您的指點
目前我已經研究出了可以利用Tomcat的Security模式達到限制的目的
其原理與JVM中的policytool類似

相關文件請參考這裡:

http://tomcat.apache.org/tomcat-4.1-doc/security-manager-howto.html


reply to postreply to post
隨筆網誌:http://reassert.blogspot.com
作者 Re:請問在Tomcat中要如何於conf/web.xml中設定Filter以限制含有Java.io.File功能之JSP網頁的存取範圍呢? [Re:remmurds]
browser

戀香

版主

發文: 3570
積分: 1
於 2006-01-09 16:12 user profilesend a private message to usersend email to browserreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
沒想到 Tomcat 有提供這樣子的功能
感謝分享 ... Orz


reply to postreply to post
作者 Re:請問在Tomcat中要如何於conf/web.xml中設定Filter以限制含有Java.io.File功能之JSP網頁的存取範圍呢? [Re:remmurds]
remmurds

Monkey D. Luffy



發文: 32
積分: 0
於 2006-01-10 03:26 user profilesend a private message to userreply to postreply to postsearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
呃!沒想到browser大大已經把本串列入精華了@@"

目前我已經實作出可支援Access的JSP網路空間
現階段還正在測試中
一旦測試完成便立即回報給大家


reply to postreply to post
隨筆網誌:http://reassert.blogspot.com
» JWorld@TW »  Application Server » Tomcat

reply to topicthreaded modego to previous topicgo to next topic
  已讀文章
  新的文章
  被刪除的文章
Jump to the top of page

JWorld@TW 本站商標資訊

Powered by Powerful JuteForum® Version Jute 1.5.8