java - 如何防止客户端访问JSP页面

Question

在我的 Web 应用程序中，我使用 JQuery 中的 .load() 函数来加载 DIV 中的一些 JSP 页面。

$("#myDiv").load("chat.jsp");

在 chat.jsp 中，除非此客户端已登录，否则不会执行任何 Java 代码，这意味着我检查 session 。

String sessionId = session.getAttribute("SessionId");
if(sessionId.equals("100")){
  //execute codes
}else{
  //redirect to log in page
}

那些将要执行的 java 代码，它们将 out.println(); 一些 HTML 元素。

我不希望客户端在浏览器中写/chat.jsp来访问这个页面，这样看起来会很糟糕，而且主页面中的其他东西也不会出现，这可能会损害 Web 应用程序的安全性。

我如何限制某人直接访问 chat.jsp，但仍可通过 .load() 访问它？

更新:

JavaDB 是我创建的一个类，它将我连接到数据库。

这是聊天.jsp

<body>

    <%

        String userId = session.getAttribute("SessionId").toString();
        if (userId != null) {
            String roomId = request.getParameter("roomId");
            String lastMessageId = request.getParameter("lastMessageId");
            JavaDB myJavaDB = new JavaDB();
            myJavaDB.Connect("Chat", "chat", "chat");
            Connection conn = myJavaDB.getMyConnection();
            Statement stmt = conn.createStatement();
            String lastId = "";
            int fi = 0;
            ResultSet rset = stmt.executeQuery("select message,message_id,first_name,last_name from users u,messages m where u.user_id=m.user_id and m.message_id>" + lastMessageId + " and room_id=" + roomId + " order by m.message_id asc");
            while (rset.next()) {
                fi = 1;
                lastId = rset.getString(2);
    %>
    <div class="message">
        <div class="messageSender">
            <%=rset.getString(3) + " " + rset.getString(4)%>
        </div>
        <div class="messageContents">
            <%=rset.getString(1)%>
        </div>
    </div>
    <%            }
    %>
    <div class="lastId">
        <% if (fi == 1) {%>
        <%=lastId%>
        <% } else {%>
        <%=lastMessageId%>
        <% }%></div>

    <% if (fi == 1) {%>
    <div class="messages">
    </div> 
    <% }
        } else {
            response.sendRedirect("index.jsp");
        }%>
</body>

伙计们，我不知道过滤器是什么意思。

更新

如果我决定发送一个参数，告诉我这个请求来自 Jquery。

.load("chat.jsp", { jquery : "yes" });

然后在chat.jsp中查看

String yesOrNo = request.getParameter("jquery");

然后他们可以使用这个 URL 简单地破解它。

/chat.jsp?jquery=yes

或者类似的东西..

更新

我尝试了 Maksim 的建议，当我尝试访问 chat.jsp 时得到了这个。

这是想要的效果吗？

Answer 1

为了在我的应用程序中实现这一点，我检查客户端在其请求中发送到我的页面的 http header 中的 X-Requested-With 字段。如果它的值为 XMLHttpRequest，那么它很可能来自 ajax 请求(jQuery 将此 header 附加到它的请求中)，否则我不会提供该页面。常规(直接)浏览器请求会将此 header 字段留空。

在 ASP.Net 中它看起来像这样，您必须为 JSP 稍微更改代码:

if (Request.Headers["X-Requested-With"] != "XMLHttpRequest")
{
     Response.Write("AJAX Request only.");
     Response.End();
     return;
}

UPD:快速谷歌搜索后，您的代码可能是这样的

if(!request.getHeader("X-Requested-With").equals("XMLHttpRequest")){
    out.println("AJAX Request only.");
    out.flush(); 
    out.close(); 
    return; 
}

UPD2:看起来 request.getHeader("X-Requested-With") 在您的情况下返回 null 将条件更改为如下内容:

String ajaxRequest = request.getHeader("X-Requested-With");
if(ajaxRequest == null || !ajaxRequest.equals("XMLHttpRequest")){
    ...
}