js|servlet|安全|問題
編寫Servlet和JSP的時候,安全執行緒問題很容易被忽略,如果忽視了這個問題,你的程式就存在潛在的隱患.
1.Servlet的生命週期
Servlet的生命週期是由Web容器負責的,當用戶端第一次請求Servlet時,容器負責初始化Servlet,也就是執行個體化這個Servlet類.以後這個執行個體就負責用戶端的請求,一般不會再執行個體化其他Servlet類,也就是有多個線程在使用這個執行個體.Servlet之所以比CGI效率高就是因為Servlet是多線程的.如果該Servlet被聲明為單執行緒模式的話,容器就會維護一個執行個體池,那麼將存在多個執行個體.
2.Servlet的安全執行緒
Servlet規範已經聲明Servlet不是安全執行緒的,所以在開發Servlet的時候要注要這個問題.這裡以一個現實的模型來說明問題,先定義一個Servlet類,再定義一個SmulateMultiThread類和WebContainer類.
import javax.servlet.http.HttpServlet;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
//該類類比多線程Servlet的情況
public class SmulateMultiThread implements Runnable{
public SmulateMultiThread() {
}
public static void main(String[] args) {
//處理100個請求
for(int i=0;i<100;i++)
{
new Thread(new SmulateMultiThread()).start();
}
}
public void run() {
HttpServletRequest request=null;
HttpServletResponse response=null;
try {
WebContainer.getServlet().doGet(request, response);
}
catch (IOException ex) {
}
catch (ServletException ex) {
}
}
}
//這是一個Servlet類
class UnsafeServlet extends HttpServlet{
private String unsafe;
public void init() throws ServletException {
}
//Process the HTTP Get request
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
unsafe=Thread.currentThread().getName();
System.out.println(unsafe);
}
}
//這個是容器類
class WebContainer{
private static UnsafeServlet us=new UnsafeServlet();
public static UnsafeServlet getServlet(){
return us;
}
}
輸出了100不同的線程名稱,如果有100個請求同時被這個Servlet處理的話,那麼unsafe就可能有100種去值,最後用戶端將得到錯誤的值.比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread-20.表現在現實中就是,我登陸的使用者名稱是user1,登陸後變成了user2.
那麼怎樣才能是Servlet安全呢,凡是多個線程可以共用的就不要使用(執行個體變數+類變數),就這麼簡單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單執行緒模式,這樣的話效率就更低了,100個請求同時來的時候就要執行個體化100個執行個體.
方法中的臨時變數是不會影響安全執行緒的,因為他們是在棧上分配空間,而且每個線程都有自己私人的棧空間.
3.JSP中安全執行緒
JSP的本質是Servlet,所有只要明白了Servlet的安全問題,JSP的安全問題應該很容易理解.使用<%! %>聲明的變數是Servlet的執行個體變數,不是安全執行緒的,其他都是安全執行緒的.
<%! String unsafeVar; %>//不是安全執行緒的
<% String safeVar; %>// 安全執行緒的
總結:安全執行緒問題主要是由執行個體變數造成的,不管在Servlet還是JSP,或者在Struts的Action裡面,不要使用執行個體變數,任何方法裡面都不要出現執行個體變數,你的程式就是安全執行緒的.