Меню сайта |
|
Форма входа |
|
Категории раздела |
|
Поиск |
|
Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
Приветствую Вас, Гость · RSS |
09.05.2024, 05:25 |
|
WebLogic - как закрыть лишний доступ к страницам
В WebLogic при описании в web.xml правил доступа к открытой и закрытой (по аутентификации) части Web-приложения по-умолчанию все, что не перечислено в привилах ограничений доступа ( <security-constraint>/<web-resource-collection>), сервер считает открытым и отдает по URL'у без пароля.
В частности, в приложении Struts неавторизованным пользователям видны jsp, которые не упрятаны под WEB-INF и не фигурируют в security-constraint. Для Strust часто нужно вообще запретить прямой доступ к страницам JSP, весь доступ должен выполняться через action'ы.
Чтобы этого достичь нужно добавить в web.xml еще одно правило security-constraint, в котором: 1. описать все ресурсы, доступ к которым скрывается от всех пользователей, например 2. указать название несуществующей роли
Например: <security-constraint> <display-name>Prohibited area</display-name> <web-resource-collection> <web-resource-name>Prohibited area</web-resource-name> <url-pattern>/jsp/*</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint> <role-name>Prohibited</role-name> </auth-constraint> </security-constraint>
<security-role> <description>Prohibited</description> <role-name>Prohibited</role-name> </security-role>
То есть нужно теперь следить, чтобы не появились пользователи с ролью Prohibited.
|
Категория: Построение Web-интерфейса: все что касается JSF, ADF и AJAX | Добавил: basil (10.08.2012)
|
Просмотров: 527 | Комментарии: 1
| Рейтинг: 0.0/0 |
|
|