JSP应用程序中安全问题的研究

摘要

本文以构建安全的JSP Web应用为目标。首先是JSP应用﹑网络安全以及目前常用的一些安全技术和现有的安全性方面的研究的背景分析。接着介绍了JSP技术的发展历史﹑开发背景和运行原理，并对攻击者和攻击类型和等级做了一个了解和分析。接下来对当前被公布的安全漏洞进行详细地讨论并按产生原因和解决方法将其分为配置类漏洞和编程类漏洞两种类型。为解决这两种安全漏洞，作者提出了一系列的安全加强措施：1）声明性安全，从管理员的角度说明可以采用哪些措施来加强安全性； 2）编程性安全，从程序开发人员的角度说明应在开发中使用哪些技术或是注意哪些可能会出现的问题；3）在声明性安全和编程性安全的基础上，提出了一个将诸多安全措施整合在一起的典型的﹑完整的安全解决方案。 文章最后通过介绍笔者参与并完成的一项网络办公系统项目，演示了如何在JSP应用中将多种安全加强措施整合在一起，实施到项目当中去。并通过前后两套系统的测试比较数据来说明安全方案的效果。