图解JSP服务器的组建.ppt

1、第14章 JSP服务的组建与安全管理,本章重点介绍如何在现有的Web服务器环境中架设一台JSP服务器。,14.1 初识JSP服务,JSP (Java Server Pages)技术为创建显示动态生成内容的Web页面提供了一个简捷而快速的方法。JSP技术的设计目的是，使得构造基于Web的应用程序更加容易和快捷，而这些应用程序能够与各种Web服务器、应用服务器、浏览器和开发工具共同工作。关于JSP服务器运行机制如图所示。,14.2 3种Web服务器环境下组建JSP服务,本节重点介绍3种架设JSP服务的方法。 所需软件介绍 配置前的准备 JSP环境的配置方案,(1) J2SDK：Java2的软件开发

2、工具，是Java应用程序的基础。JSP是基于Java技术的，所以配置JSP环境之前必须要安装J2SDK。 (2) Apache服务器：Apache组织开发的一种常用Web服务器，提供Web服务。 (3) Tomcat服务器：Apache组织开发的一种JSP引擎，本身具有Web服务器的功能，可以作为独立的Web服务器来使用。但是，在作为Web服务器方面，Tomcat处理静态HTML页面时不如Apache迅速，也没有Apache健壮，所以我们一般将Tomcat与Apache配合使用，让Apache对网站的静态页面请求提供服务；而Tomcat作为专用的JSP引擎，提供JSP解析，以得到更好的性能。并

3、且Tomcat本身就是Apache的一个子项目，所以Tomcat对Apache提供了强有力的支持。对于初学者来说，Tomcat是一个很不错的选择。 (4) mod_jk.dll：Apache组织Jakarta项目组开发的使Apache支持Tomcat的插件。有了这个插件，Tomcat能够和Apache进行无缝连接。mod_jk.dll最新的版本为mod_jk_1.2.6_2.0.50.dll。 (5) tc4ntiis.zip：Apache组织Jakarta项目组开发的使IIS支持Tomcat的插件。,14.2.1 所需软件介绍,14.2.2 配置前的准备,准备一个测试用的JSP网页 安装J2

4、SDK,打开【记事本】程序，从中输入代码，并保存为test.jsp(注意扩展名为.jsp) 。,不管哪种方案，在安装和配置JSP引擎之前必须先完成J2SDK的安装。 安装J2SDK 在Windows下，直接运行下载的j2sdk-windows-i586.exe程序，根据安装向导将其安装到一个目录中，如“D:j2sdk 1.4.1”。 添加环境变量 (1) 如果操作系统是Windows 98，可以用【记事本】程序直接编辑Autoexec.bat，添加下面命令行： * PATH=%PATH%;D:j2sdk1.4.2_01bin SET JAVA_HOME=D:j2sdk1.4.2_01 SET

5、CLASSPATH=D:j2sdk1.4.2_01libtools.jar * 添加完成后，选择【文件】【保存】命令，然后重新启动计算机，这样所添加的环境变量才会生效。,(2) 如果操作系统是Windows 2000/XP/2003，操作步骤是：右击【我的电脑】，在弹出的快捷菜单中选择【属性】命令，在【系统属性】窗口中单击【高级】标签，然后单击【环境变量】按钮， 弹出【环境变量】对话框，从中单击【新建】按钮将PATH、JAVA_HOME和CLASSPATH三个变量添加到【系统变量】列表框中，变量值同上。,14.2.3 JSP环境的配置方案,方案一：J2SDK与Tomcat整合 安装Tomcat

6、 配置Tomcat的环境变量 测试默认服务 方案二：J2SDK+Apache+Tomcat整合 配置Apache 整体测试 方案三：J2SDK+IIS+Tomcat整合,(1) 双击运行Tomcat安装程序jakarta-tomcat-4.1.30.exe，它会自动寻找J2SDK的位置，首先进入用户许可协议对话框，单击I Agree按钮继续下面的操作。 (2) 选择安装组件，在这里我们就安装默认组件，单击Next按钮继续下面的操作。,(3) 选择安装目录：推荐将Tomcat安装到非系统目录下。例如，在这里我们将它安装到d:Tomcat4.1，单击Next按钮继续下面的操作。 (4) 接着系统就

7、会进入安装阶段，经过47分钟，Tomcat就会完成安装。,(5) 当Tomcat安装完成后，安装程序会进入一个配置Tomcat的窗口，在HTTP/1.1 Connector Port文本框中输入Tomcat连接端口，默认端口为8080，此端口就是客户端在浏览器中访问JSP程序所用的端口。在Administrator Login选项组中的User Name、Password文本框中输入通过浏览器远程管理Tomcat的用户名和密码。此步设置完成后，即可退出Tomcat安装程序。,右击【我的电脑】，在弹出的快捷菜单中选择【属性】命令，在【系统属性】对话框中单击【高级】标签，然后单击【环境变量】按钮，

8、 弹出【环境变量】对话框，单击【新建】按钮添加一个新的环境变量名“TOMCAT_HOME”，变量值为“D:Tomcat4.1” 。,(1) 双击Tomcat安装目录下的D:tomcat4.1binstartup.bat，启动Tomcat(同目录中的shutdown.bat为关闭Tomcat)。 (2) 启动Tomcat后，双击打开桌面上的【浏览器】程序，在浏览器的【地址】下拉列表框中输入本地服务器的IP地址及Tomcat所使用的端口“2:8080”(Tomcat默认端口为8080)。如果在浏览器中看到Tomcat的欢迎界面，表示Tomcat工作正常。,(3)

9、把刚才编写好的test.jsp程序复制到D:Tomcat4.1webappsexamples jsp目录下，然后在浏览器的【地址】下拉列表框中输入2: 8080/examples /jsp/test.jsp。如果浏览器中显示“Hello World！”，则说明JSP环境配置成功。,(1) 安装Apache。 (2) 按照方案一的步骤安装Tomcat，并保证它正常运行。 (3) 将mod_jk_1.2.6_2.0.50.dll复制到Apache安装目录下的modules目录中，并更名为mod_jk.dll。 (4) 建立mod_jk模块工作所需要的工作文件。打开

10、文本编辑器，输入下列语句： * workers.tomcat_home=D:tomcat4.1 (让mod_jk模块知道Tomcat) workers.java_home=D:j2sdk1.4.2_01 (让mod_jk模块知道JSDK) ps= worker.list=ajp13 (mod_jk的模块版本) worker.ajp13.port=8009 (mod_jk的工作端口) worker.ajp13.host=localhost worker.ajp13.type=ajp13 worker.ajp13.lbfactor=1 *,(1) 将index.jsp设置为默认打开页。查找“Dir

11、ectoryIndex”，在“index. html.var”后面再添加“index.jsp” 。 (2) 在httpd.conf的最后加入下面这段代码，“#”后面的文字为解释语句，服务器将其忽略。添加完毕后选择【文件】【保存】命令，对所刚才所作的修改进行保存。,将test.jsp程序复制到D:Tomcat4.1webappsexamplesjsp目录下。打开【浏览器】程序，在浏览器的【地址】下拉列表框中输入“2/examples/jsp/test.jsp”，如果浏览器中出现Hello World！，就表明Apache和Tomcat整合成功。,(1) 按照方案

12、一的步骤安装Tomcat，并保证它正常运行。 (2) 将下载的tc4ntiis.zip直接解压缩到f:tomcat4目录下。查看配置所需要的文件，确保它们在以下位置： D:Tomcat4.1serverlibajp.jar D:Tomcat4.1serverlibtomcat-util.jar D:Tomcat4.1binnativeisapi_redirect.dll D:Tperties D:Tperties D:Tomcat4.1confntiisiis_redire

13、ct.reg D:Tomcat4.1logiis_redirect.log,(3) 用文本编辑器打开D:Tperties，修改下列值： * workers.tomcat_home=D:tomcat4.1 workers.java_home=D:j2sdk1.4.2_01 *,(4) 双击运行D:Tomcat4.1confntiisiis_redirect.reg，将此注册文件内的信息添加到注册表中，但是要修改log_file、worker_file、worker_mount_file这3个键的键值，以适合你的环境(比如本文中的Tomcat

14、安装在D:Tomcat4.1目录下，而不是默认的C:tomcat4)。 (5) 打开“Internet信息服务”窗口，在默认站点上添加一个新的虚拟目录，名称为“jakarta”。将这个虚拟目录指向D:Tomcat4.1binnative，并启动该默认站点。,(6) 打开【Internet信息服务】窗口，右击【】站点名，在弹出的快捷菜单中选择【属性】命令，在打开的【属性】对话框中单击【ISAPI筛选器】标签，然后单击【添加】按钮添加一个ISAPI筛选器，输入名字为“Jakarta Redirect”，可执行文件路径为“D:Tomcat4.1

15、bin nativeisapi_redirect.dll” 。最后重新启动IIS服务，发现在ISAPI筛选器列表框中 Jakarta Redirect的状态是一个绿色向上的箭，表示运行成功。,(6) 打开【Internet信息服务】窗口，右击【】站点名，在弹出的快捷菜单中选择【属性】命令，在打开的【属性】对话框中单击【ISAPI筛选器】标签，然后单击【添加】按钮添加一个ISAPI筛选器，输入名字为“Jakarta Redirect”，可执行文件路径为“D:Tomcat4.1bin nativeisapi_redirect.dll” 。最后

16、重新启动IIS服务，发现在ISAPI筛选器列表框中 Jakarta Redirect的状态是一个绿色向上的箭，表示运行成功。 (7) 重新启动IIS和Tomcat。 (8) 整体测试。将test.jsp程序复制到D:Tomcat4.1webappsexamples jsp目录下。打开【浏览器】程序，在浏览器的【地址】下拉列表框中里输入2/examples/jsp/test.jsp。如果浏览器中出现Hello World！，就表明IIS和Tomcat整合成功。,14.3 打造安全的JSP服务,本节重点对JSP安全问题进行分类阐述和提出解决的建议。 当网络编程越来

17、越方便、系统功能越来越强大时，安全性却成指数倍地下降。这恐怕就是网络编程的不幸和悲哀了。自从推出之日起，JSP编程语言由于它的快速、平台无关、可扩展、面向对象等特性得到了越来越广泛的应用，越来越多的厂家开发出了各种各样的支持平台，也有越来越多的网站开始将自己的平台架构在JSP环境中。 但是随之而来的就是一系列的安全漏洞问题，如源代码暴露漏洞、远程任意命令执行漏洞等，更为头疼的是，随着JSP越来越广泛的应用，安全问题也越来越多。 源代码暴露类 远程程序执行类 其他类别,源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者。 解决办法如下： (1) 在服务器软件的网站上下载补丁。 (2)

18、IIS以前一个有效解决ASP的漏洞就是将ASP程序单独放置于一个目录中，将目录用户的权限设置为只能执行不能读取。在JSP环境下同样可以通过设置服务器的环境来解决这个问题，简单的说，就是将一些比较重要的目录如Web-Inf、classes等设置为访问权限，不允许读和取只允许执行。以Apache 下解决为例，可以在httpd.conf文件中添加目录Web-Inf，并设置Deny from all等属性。另一种比较笨的解决方法就是，在每个重要目录下添加一个默认起始页面如Index.htm等，这样读取目录就会返回给访问者这个文件。 (3) 找到服务器软件的JSP执行映射Servlet文件(class为扩展名)，将它用JAD软件反编译，在反编译后的源代码中找到处理Eception的方法，