一种方法是将JSP放在WEB-INF文件夹下。servlet引擎将限制对WEB-INF文件夹下的任何文件的直接访问,从而实现您的目标。
我正在努力防止对jsp的目录遍历攻击。除了清除URL参数之外,我不想完全公开目录结构。有没有一种方法可以让我正确地隐藏/更改用户看到的路径以及源代码中的路径?
为了能够使用这种方法,您的所有链接和表单操作都应该映射到servlet或您正在使用的框架中的类似组件(例如Struts中的操作、SpringMVC中的控制器等)。您不能公开到JSP页面的直接链接(这无论如何都是个坏主意)。
例如,如果您使用的是SpringMVC,则链接将指向映射到控制器的URL。控制器将检索需要在JSP上显示的数据,然后转发到JSP(使用适当的SpringMVC方法)。
HTH