我的编程空间,编程开发者的网络收藏夹
学习永远不晚

Java安全基础之Servlet核心技术

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

Java安全基础之Servlet核心技术

今天写一下Servlet的一些核心技术,后面更新完Filter之后我会对这两个进行一个总结。

了解Servlet知识对后续的框架审计有一定的帮助。代码审计中我们可以选择Servlet入手,也可以选择从漏洞点反推出Http请求的入口地址。

一、Servlet的配置

不同的版本的Servlet配置不同,Servlet3.0之前的版本都是在web.xml中配置的,而Servlet3.0之后的版本则使用更为便捷的注解方式来配置。此外,不同版本的Servlet所需的Java/JDK版本也不相同。

1.1、Servlet的配置-基于web.xml

<servlet>—— 声明servlet配置入口
<description>—— 声明servlet描述信息
<display-name>——— 定义WEB
<servlet-name>—— 声明Servlet名称以便在后面的映射时使用
<servlet-class>—— 指定当前servlet对应的类的路径
<servlet-mapping>—— 注册组件访问配置的路径入口
<servlet-name>—— 指定上文配置的Servlet的名称
<url-pattern>—— 指定配置这个组件的访问路径

二、Servlet的访问流程

我们以如下的配置文件举例:

首先在浏览器地址栏中输入user,即访问url-pattern标签中的值,然后浏览器发起请求,服务器通过servlet-mapping标签中找到文件名为user的url-pattern,通过其对应的servlet-name寻找servlet标签中servlet-name相同的servlet,再通过servlet标签中servlet-name,获取servlet-class参数,最终得到具体的class文件路径,继而执行servlet-class标签中class文件的逻辑。

从上述过程中可以看出,servlet和servlet-mapping中都含有标签,其主要原因是通过servlet-name作为纽带,将servlet-class和url-pattern构成联系,从而使url映射到servlet-class所指定的类中执行相应逻辑。

首先在浏览器地址栏中输入user,即访问url-pattern标签中的值,然后浏览器发起请求,服务器通过servlet-mapping标签中找到文件名为user的url-pattern,通过其对应的servlet-name寻找servlet标签中servlet-name相同的servlet,再通过servlet标签中servlet-name,获取servlet-class参数,最终得到具体的class文件路径,继而执行servlet-class标签中class文件的逻辑。

从上述过程中可以看出,servlet和servlet-mapping中都含有标签,其主要原因是通过servlet-name作为纽带,将servlet-class和url-pattern构成联系,从而使url映射到servlet-class所指定的类中执行相应逻辑。

三、Servlet的接口方法

HTTP有8中请求方式,分别为,GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE以及CONNECT方法.与此类似,Servlet接口中也对于着响应的请求接口:GET、POST、HEAD、PUT、DELETE、OPTIONS以及TRACE,这些接口对应着请求类型,service()方法会检查HTTP请求类型,然后在适当的时候调用doGet、doPost、doPost、doPut、doDelete等方法。

3.1、Servlet的接口方法 - init()接口

在Servlet实例化后,Servlet容器会巧用init()方法来初始化该对象,主要是为例使Servlet对象在处理客户请求钱可以完成一些初始化工作,例如建立数据库的连接,获取配置信息等。init()方法在第一次创建servlet时被调用,在后续每次用户请求时不在被调用。

在init()方法中有一个ServletConfig参数,ServletConfig代表的是配置信息,即在web.xml中配置的信息。

3.2、Servlet的接口方法 - service()接口

service()方法是执行实际任务的主要方法,Servlet容器(即web服务器)调用service()方法来处理来自客户端(浏览器)的请求,并将格式化的响应写回给客户端,每次服务器接收到一个servlet请求时,服务器会产生一个新的线程并调用服务。要注意的是,在service()方法被Servlet容器调用之前,必须确保init()方法正确完成。

一般来说service方法是不需要重写的,因为在HttpServlet中已经有了很好的实现,它会根据请求的方法名(GET,POST),调用doGet,doPos以及其他的doXXX方法,也就是说service是用来转向的,所以我们一般写一个servlet,只需要重写doGet或者doPost就可以了。

3.3、Servlet的接口方法 - doGet() && doPost()接口

doGet()等方法根据HTTP的不同请求调用不同的方法,如果HTTP得到一个来自URL的GET请求,就会调用doGet()方法;如果得到的是一个POST请求,就会调用doPost()方法。

在servlet中默认情况下,无论你是get还是post提交过来都会经过service()方法来处理,然后转向到doGet或者是doPost方法。

下面是自动生成的doGet()和doPost方法。

3.4、Servlet的接口方法 - 其他接口

destory()接口

当Servlet容器检测到一个Servlet对象应该从服务中被移除时,就会调用该对象的destroy()方法,以便Servlet对象释放它所使用的资源,保存数据到持久存储设备中,例如将内存中的数据保存到数据库中、关闭数据库连接、停止后台线程、把Cookie列表或点击计数器写到磁盘,并执行其他类似的清理活动。destory()方法与init()方法相同,只会被调用一次。

getServeltConfig()接口

getServletConfig()方法返回Servlet容器调用init()方法时传递给Servlet对象的ServletConfig对象,ServletConfig对象包含Servlet的初始化参数。开发者可以在Servlet的配置文件web.xml中,使用标签为servlet配置一些初始化参数。

getServletInfo()接口

getServletInfo()方法会返回一个String类型的字符串,包括关于Servlet的信息,如作者、版本及版权等。

四、Servlet的生命周期

我们常说的Servlet生命周期指的是servlet从创建直到销毁的整个过程,在一个生命周期中,Servlet经历了被加载、初始化、接收请求、响应请求以及提供服务的过程。

当用户第一次向服务器发起请求时,服务器会解析用户的请求,此时容器会加载Servlet,然后创建Servlet实例,再初始化servlet调用init()方法,紧接着调用服务的service()方法去处理用户GET、POST或者其他类型的请求。当执行完Servlet中对应class文件的逻辑后,将结果返回给服务器,服务器再响应用户请求,当服务器不再需要Servlet实例或重新载入servlet实例或重新载入servlet时会调用destory()方法,借助该方法,Servlet可以释放掉所以在init()方法中申请的资源。

五、总结

从本质上来说JSP就是一个Servlet,因为JSP文件最终会被编译成class文件,而这个Class文件实际上就是一个特殊的Servlet

Spring MVC框架是基于Servlet技术实现的。

代码审计中我们可以选择Servlet入手,也可以选择从漏洞点反推出Http请求的入口地址。

了解Servlet知识对后续的框架审计有一定的帮助。

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

Java安全基础之Servlet核心技术

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

Java安全基础之Servlet核心技术

不同的版本的Servlet配置不同,Servlet3.0之前的版本都是在web.xml中配置的,而Servlet3.0之后的版本则使用更为便捷的注解方式来配置。此外,不同版本的Servlet所需的Java/JDK版本也不相同。

Java安全基础之Java的反射机制

利用Java的反射机制,我们可以无视类方法、变量访问权限修饰符,调用任何类的任意方法、访问并修改成员变量值,但是这样做可能导致安全问题,如果一个攻击者能够通过应用程序创建意外的控制流路径,就有可能绕过安全检查发起相关攻击。

2021年零售行业的四大核心技术基础设施趋势

随着大量顾客重返实体店,零售商正在面临技术基础设施薄弱的挑战,这些基础设施的可扩展性或灵活性不足以满足不断增长的消费者需求。

揭秘WWDC24苹果AI核心技术:智能端云基础模型系统

在2024年全球开发者大会上介绍的苹果基础模型和适配器构成了苹果智能,这是一个新的个人智能系统,深度集成到iPhone、iPad和Mac中,并在语言、图像、动作和个人上下文方面提供了强大的能力。

IT基础设施安全管理技术有哪些?

IT基础设施安全管理技术是指一系列用于保护企业或组织的信息技术基础设施,免受各种威胁和攻击的方法和策略。那么,IT基础设施安全管理技术有哪些?

数据库零基础入门教程-JDBC核心技术精讲视频教程

JDBC简介 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高
数据库零基础入门教程-JDBC核心技术精讲视频教程
2020-01-10

区块链基础知识:去中心化技术的全面介绍

区块链技术彻底改变了数字格局,提供了去中心化网络、共识机制、加密原理和智能合约。了解这些基本概念为探索加密货币之外的巨大潜力打开了大门。

揭秘Sora技术路线:核心成员来自伯克利,基础论文曾被CVPR拒稿

至此已成艺术的 Sora,是从哪条技术路线发展出来的?
AI模型2024-11-30

云从科技实力护航博鳌亚洲论坛 核心技术扣紧安全铁锁

3月29日,博鳌亚洲论坛在琼海落下帷幕,云从科技作为大会指定的技术支持方,在安保维稳方面起到了重要的作用
云从科技2024-12-01

Java并发编程之介绍线程安全基础的示例

这篇文章主要介绍了Java并发编程之介绍线程安全基础的示例,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。线程安全基础1.线程安全问题2.账户取款案例3.同步代码块synchr
2023-06-06

开源网安获批设立博士后创新实践基地,持续攻克软件安全核心技术难题

近日,深圳市人力资源和社会保障局就拟批准设立的博士后创新实践基地和深圳企业博士后工作站分站进行社会公示,开源网安通过层层筛选,成功入选深圳市博士后创新实践基地。
开源网2024-11-28

通付盾SOC核心技术矩阵赋能数据要素市场安全发展

摘要:通付盾SOC核心技术矩阵包括下一代网络安全对抗服务品牌SharkTeam,专注Web3安全服务,提供下一代互联网APT(Advanced Persistent Threat)对抗;分布式数字身份区块链+开放平台OpenChain,基于
通付盾2024-11-30

云计算核心技术Docker教程:Docker 守护进程dockerd不安全的注册表

Docker认为私有注册表是安全的还是不安全的。在本节的其余部分中,注册表用于私有注册表,并且myregistry:5000 是私有注册表的占位符示例。

数据安全之道:Java加密技术保护MySQL数据库

Java加密技术在保护MySQL数据库的数据安全方面具有重要作用。通过选择合适的加密算法、加密传输和存储策略,可以有效防止数据被窃取和篡改。
Java技术2024-11-30

推动网络安全基础技术创新,蚂蚁集团韦韬入选IDC“中国安全十人”

伴随全球数字经济蓬勃发展,网络安全形势愈发严峻,层出不穷的网络攻击事件,严重影响着企业数字化转型的步伐。

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录