servlet 和 jsp 是 Java web 开发的核心组件。1. servlet 负责处理请求和业务逻辑,jsp 负责数据展示,两者协同工作,实现动态 web 应用;2. servlet 生命周期包括加载、初始化、处理请求和销毁四个阶段,init()、service() 和 destroy() 方法分别对应这些阶段,合理使用生命周期方法可提升应用性能与稳定性;3. jsp 提供隐式对象如 request、response、Session、application 等,无需声明即可直接使用,简化页面开发;4. 常见安全漏洞包括 xss、sql 注入、csrf 和会话劫持,防范措施包括输入验证、html 编码、参数化查询、csrf Token 及使用 https 加密等,确保 web 应用安全性。理解这些内容是成为合格 java web 开发者的关键。
Servlet 和 JSP 是 Java Web 开发的基石。它们共同构建了动态 Web 应用的基础架构。Servlet 负责处理请求和业务逻辑,JSP 负责展示数据。理解它们的工作原理和相互关系,是成为一名合格 Java Web 开发者的必要条件。
Servlet 和 JSP 协同工作,Servlet 接收客户端请求,处理数据,并将数据传递给 JSP 页面,JSP 页面负责将数据格式化并呈现给用户。
Servlet 和 JSP 都是 Java EE 技术规范的一部分,由 Sun Microsystems (现在是 oracle) 定义。
立即学习“Java免费学习笔记(深入)”;
Servlet 和 JSP 的结合使用,使得 Java Web 开发更加高效和灵活。
Servlet 生命周期详解:从初始化到销毁
Servlet 的生命周期是理解 Servlet 工作原理的关键。它包括加载、初始化、处理请求和销毁四个阶段。
-
加载:当 Web 容器 (例如 tomcat) 启动时,或者在收到第一个针对特定 Servlet 的请求时,容器会加载 Servlet 类。
-
初始化:容器加载 Servlet 类后,会创建 Servlet 实例,并调用 init() 方法进行初始化。init() 方法只会被调用一次,用于执行一些初始化操作,例如读取配置文件、建立数据库连接等。
public void init() throws ServletException { // 初始化操作,例如读取配置文件 ServletContext context = getServletContext(); String configParam = context.getInitParameter("configParam"); System.out.println("Config Param: " + configParam); }
- 处理请求:当客户端发送请求到 Servlet 时,容器会调用 Servlet 的 service() 方法来处理请求。service() 方法会根据 HTTP 请求的方法 (GET、POST 等) 调用相应的 doGet()、doPost() 等方法。
protected void doGet(httpservletRequest request, HttpServletResponse response) throws ServletException, IOException { // 处理 GET 请求 response.setContentType("text/html"); PrintWriter out = response.getWriter(); out.println("<html><body><h1>Hello, GET Request!</h1></body></html>"); }
- 销毁:当 Web 应用被停止或重新部署时,容器会先调用 Servlet 的 destroy() 方法进行销毁。destroy() 方法只会被调用一次,用于释放资源,例如关闭数据库连接、释放文件句柄等。
public void destroy() { // 释放资源,例如关闭数据库连接 System.out.println("Servlet destroyed"); }
理解 Servlet 生命周期有助于编写高效、稳定的 Web 应用。例如,可以将一些耗时的初始化操作放在 init() 方法中,避免每次请求都执行这些操作。同样,在 destroy() 方法中释放资源,可以避免资源泄漏。
JSP 隐式对象:无需声明即可使用的内置对象
JSP 提供了一组隐式对象,无需声明即可在 JSP 页面中直接使用。这些对象提供了访问请求、响应、会话等信息的便捷方式。
常用的 JSP 隐式对象包括:
- request:HttpServletRequest 类的实例,代表客户端的请求。可以通过 request 对象获取请求参数、请求头等信息。
- response:HttpServletResponse 类的实例,代表服务器的响应。可以通过 response 对象设置响应头、响应内容等。
- session:HttpSession 类的实例,代表用户的会话。可以通过 session 对象存储和获取用户会话数据。
- application:ServletContext 类的实例,代表 Web 应用的上下文。可以通过 application 对象获取 Web 应用的初始化参数、共享数据等。
- out:JspWriter 类的实例,用于向客户端输出内容。
- pageContext:PageContext 类的实例,代表 JSP 页面的上下文。可以通过 pageContext 对象访问其他隐式对象、设置页面属性等。
- config:ServletConfig 类的实例,代表 Servlet 的配置信息。
- page:Object 类的实例,代表当前 JSP 页面本身。通常不直接使用。
- exception:Throwable 类的实例,代表 JSP 页面中发生的异常。只有在 errorPage 页面中才能使用。
例如,可以使用 request 对象获取客户端传递的参数:
<% String username = request.getParameter("username"); if (username != null) { out.println("Hello, " + username + "!"); } else { out.println("Please enter your username."); } %>
或者使用 session 对象存储用户登录信息:
<% session.setAttribute("loggedIn", true); %>
熟练使用 JSP 隐式对象可以简化 JSP 页面的开发,提高开发效率。
如何避免 Servlet 和 JSP 中的常见安全漏洞
Servlet 和 JSP 作为 Web 应用的核心组件,容易受到各种安全攻击。了解常见的安全漏洞并采取相应的防范措施至关重要。
-
跨站脚本攻击 (XSS):XSS 攻击是指攻击者将恶意脚本注入到 Web 页面中,当用户浏览页面时,恶意脚本会被执行,从而窃取用户信息或进行其他恶意操作。
- 防范措施:对用户输入进行严格的验证和过滤,避免将用户输入直接输出到页面中。使用 HTML 编码对输出内容进行转义,防止恶意脚本被执行。
// 使用 OWASP ESAPI 库进行 HTML 编码 String encodedUsername = ESAPI.encoder().encodeForHTML(username); out.println("Hello, " + encodedUsername + "!");
-
SQL 注入攻击:SQL 注入攻击是指攻击者通过在用户输入中插入恶意 SQL 代码,从而篡改或窃取数据库中的数据。
- 防范措施:使用参数化查询或预编译语句,避免将用户输入直接拼接到 SQL 语句中。对用户输入进行严格的验证和过滤,防止恶意 SQL 代码被注入。
// 使用 PreparedStatement 避免 SQL 注入 String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery();
-
跨站请求伪造 (CSRF):CSRF 攻击是指攻击者伪造用户请求,在用户不知情的情况下执行恶意操作。
- 防范措施:使用 CSRF Token,在每个请求中包含一个随机生成的 Token,服务器端验证 Token 的有效性。
// 生成 CSRF Token String csrfToken = UUID.randomUUID().toString(); session.setAttribute("csrfToken", csrfToken);
// 在表单中包含 CSRF Token <input type="hidden" name="csrfToken" value="<%= session.getAttribute("csrfToken") %>">
// 验证 CSRF Token String csrfToken = request.getParameter("csrfToken"); String sessionCsrfToken = (String) session.getAttribute("csrfToken"); if (csrfToken == null || !csrfToken.equals(sessionCsrfToken)) { // CSRF 攻击 response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF attack detected"); return; }
-
会话劫持:会话劫持是指攻击者窃取用户的会话 ID,从而冒充用户进行操作。
- 防范措施:使用 HTTPS 加密传输会话 ID,防止会话 ID 被窃取。设置会话过期时间,避免会话长期有效。在用户登录后,重新生成会话 ID,防止会话固定攻击。
// 用户登录后,重新生成会话 ID HttpSession session = request.getSession(false); if (session != null) { session.invalidate(); } session = request.getSession(true);
除了以上常见的安全漏洞,还有很多其他的安全风险需要关注。建议定期进行安全审计,及时修复安全漏洞,确保 Web 应用的安全。