jspxcms中怎樣使用jsp文件

這篇文章給大家介紹jspxcms中怎樣使用jsp文件，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

系統中默認禁止jsp的訪問。允許jsp訪問容易導致一些漏洞，最為常見的攻擊方式是通過上傳jsp文件獲取webshell。

在com.jspxcms.core.ShiroConfig中定義了對jsp jspx后綴的過濾。

    @Bean
    public FilterRegistrationBean jspDispatcherFilterRegistrationBean() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new JspDispatcherFilter());
        filterRegistration.setEnabled(true);
        filterRegistration.addInitParameter("prefix", "/jsp");
        filterRegistration.addUrlPatterns("*.jsp");
        filterRegistration.addUrlPatterns("*.jspx");
        filterRegistration.setDispatcherTypes(DispatcherType.REQUEST);
        return filterRegistration;
    }

其中com.jspxcms.common.web.JspDispatcherFilter就是過濾器。

    /**
     * 是否允許訪問 JSP 或 JSPX 文件。默認 false 。
     */
    private boolean allowed = false;
    /**
     * 請求轉發地址前綴。只允許特定目錄的 jsp(jspx) 允許被訪問。默認為 /jsp 。比如訪問 /abc.jsp 通過請求轉發實際上訪問的文件為 /jsp/abc.jsp 。
     */
    private String prefix = "/jsp";

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        if (!allowed) {
            ((HttpServletResponse) response).sendError(HttpServletResponse.SC_FORBIDDEN, "JSP Access Denied");
            return;
        }
        HttpServletRequest req = (HttpServletRequest) request;
        String uri = req.getRequestURI();
        String ctx = req.getContextPath();
        if (StringUtils.isNotBlank(ctx)) {
            uri = uri.substring(ctx.length());
        }
        request.getRequestDispatcher(prefix + uri).forward(request, response);
    }

    public void init(FilterConfig filterConfig) throws ServletException {
        String allowed = filterConfig.getInitParameter("allowed");
        if ("true".equals(allowed)) {
            this.allowed = true;
        }
        String prefix = filterConfig.getInitParameter("prefix");
        if (StringUtils.isNotBlank(prefix)) {
            this.prefix = prefix;
        }
    }

在這個過濾器中默認不允許任何jsp的直接訪問。但對于某些一定需要使用jsp的情況，預留了一個相對安全的訪問jsp的方法。就是所有的jsp請求，都轉發到/jsp目錄下，這防止了攻擊者將jsp文件上傳到uploads等目錄導致的攻擊。因為只有上傳到/jsp目錄的jsp文件才能被訪問。

可以修改JspDispatcherFilter的private boolean allowed = true;。然后將jsp文件放到/jsp目錄中。比如創建/jsp/abc.jsp文件，訪問路徑是/abc.jsp。

關于jspxcms中怎樣使用jsp文件就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。