Servlet和JSP的安全執行緒問題

來源:互聯網
上載者:User
js|servlet|安全|問題

編寫Servlet和JSP的時候,安全執行緒問題很容易被忽略,如果忽視了這個問題,你的程式就存在潛在的隱患.

1.Servlet的生命週期

Servlet的生命週期是由Web容器負責的,當用戶端第一次請求Servlet時,容器負責初始化Servlet,也就是執行個體化這個Servlet類.以後這個執行個體就負責用戶端的請求,一般不會再執行個體化其他Servlet類,也就是有多個線程在使用這個執行個體.Servlet之所以比CGI效率高就是因為Servlet是多線程的.如果該Servlet被聲明為單執行緒模式的話,容器就會維護一個執行個體池,那麼將存在多個執行個體.

2.Servlet的安全執行緒

Servlet規範已經聲明Servlet不是安全執行緒的,所以在開發Servlet的時候要注要這個問題.這裡以一個現實的模型來說明問題,先定義一個Servlet類,再定義一個SmulateMultiThread類和WebContainer類.

import javax.servlet.http.HttpServlet;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

//該類類比多線程Servlet的情況

public class SmulateMultiThread implements Runnable{

public SmulateMultiThread() {

}

public static void main(String[] args) {

//處理100個請求

for(int i=0;i<100;i++)

{

new Thread(new SmulateMultiThread()).start();

}

}

public void run() {

HttpServletRequest request=null;

HttpServletResponse response=null;

try {

WebContainer.getServlet().doGet(request, response);

}

catch (IOException ex) {

}

catch (ServletException ex) {

}

}

}

//這是一個Servlet類

class UnsafeServlet extends HttpServlet{

private String unsafe;

public void init() throws ServletException {

}

//Process the HTTP Get request

public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

unsafe=Thread.currentThread().getName();

System.out.println(unsafe);

}

}

//這個是容器類

class WebContainer{

private static UnsafeServlet us=new UnsafeServlet();

public static UnsafeServlet getServlet(){

return us;

}

}

輸出了100不同的線程名稱,如果有100個請求同時被這個Servlet處理的話,那麼unsafe就可能有100種去值,最後用戶端將得到錯誤的值.比如客戶1請求的線程名為thread-1,但是返回給他的可能是thread-20.表現在現實中就是,我登陸的使用者名稱是user1,登陸後變成了user2.

那麼怎樣才能是Servlet安全呢,凡是多個線程可以共用的就不要使用(執行個體變數+類變數),就這麼簡單.也可以使用synchronized同步方法,但是這樣效率不高,還可以使用單執行緒模式,這樣的話效率就更低了,100個請求同時來的時候就要執行個體化100個執行個體.

方法中的臨時變數是不會影響安全執行緒的,因為他們是在棧上分配空間,而且每個線程都有自己私人的棧空間.

3.JSP中安全執行緒

JSP的本質是Servlet,所有只要明白了Servlet的安全問題,JSP的安全問題應該很容易理解.使用<%! %>聲明的變數是Servlet的執行個體變數,不是安全執行緒的,其他都是安全執行緒的.

<%! String unsafeVar; %>//不是安全執行緒的

<% String safeVar; %>// 安全執行緒的

總結:安全執行緒問題主要是由執行個體變數造成的,不管在Servlet還是JSP,或者在Struts的Action裡面,不要使用執行個體變數,任何方法裡面都不要出現執行個體變數,你的程式就是安全執行緒的.



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。