51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Servlet和JSP潜在的隐患

作者:网络
开发 后端
本文介绍编写Servlet和JSP的时候,线程安全问题很容易被忽略,如果忽视了这个问题,你的程序就存在潜在的隐患。

1.Servlet的生命周期

Servlet的生命周期是由Web容器负责的,当客户端***次请求Servlet时,容器负责初始化Servlet,也就是实例化这个Servlet类。以后这个实例就负责客户端的请求,一般不会再实例化其他Servlet类,也就是有多个线程在使用这个实例。Servlet之所以比CGI效率高就是因为Servlet是多线程的。如果该Servlet被声明为单线程模型的话,容器就会维护一个实例池,那么将存在多个实例。

2.Servlet和JSP的线程安全

Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题。这里以一个现实的模型来说明问题,先定义一个Servlet类,再定义一个SmulateMultiThread类和WebContainer类。

importjavax.servlet.http.HttpServlet;  
importjavax.servlet.ServletException;  
importjavax.servlet.http.HttpServletRequest;  
importjavax.servlet.http.HttpServletResponse;  
importjava.io.IOException;  
//该类模拟多线程Servlet的情况  
publicclassSmulateMultiThreadimplementsRunnable{  
publicSmulateMultiThread(){  
}  
publicstaticvoidmain(String[]args){  
//处理100个请求  
for(inti=0;i<100;i++)  
{  
newThread(newSmulateMultiThread())。start();  
}  
}  
publicvoidrun(){  
HttpServletRequestrequest=null;  
HttpServletResponseresponse=null;  
try{  
WebContainer.getServlet()。doGet(request,response);  
}catch(IOExceptionex){  
}  
catch(ServletExceptionex){  
}  
}  
}  
//这是一个Servlet类  
classUnsafeServletextendsHttpServlet{  
privateStringunsafe;  
publicvoidinit()throwsServletException{  
}  
//ProcesstheHTTPGetrequest  
publicvoiddoGet(HttpServletRequestrequest,HttpServletResponseresponse)
throwsServletException,IOException{  
unsafe=Thread.currentThread()。getName();  
System.out.println(unsafe);  
}  
}  
//这个是容器类  
classWebContainer{  
privatestaticUnsafeServletus=newUnsafeServlet();  
publicstaticUnsafeServletgetServlet(){  
returnus;  
}  


  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.

输出了100不同的线程名称,如果有100个请求同时被这个Servlet处理的话,那么unsafe就可能有100种去值,***客户端将得到错误的值。比如客户1请求的线程名为thread-1,但是返回给他的可能是thread-20.表现在现实中就是,我登陆的用户名是user1,登陆后变成了user2.那么怎样才能是Servlet安全呢,凡是多个线程可以共享的就不要使用(实例变量+类变量),就这么简单。也可以使用synchronized同步方法,但是这样效率不高,还可以使用单线程模型,这样的话效率就更低了,100个请求同时来的时候就要实例化100个实例。

方法中的临时变量是不会影响线程安全的,因为他们是在栈上分配空间,而且每个线程都有自己私有的栈空间。

3.JSP中线程安全

JSP的本质是Servlet,所有只要明白了Servlet的安全问题,Servlet和JSP的安全问题应该很容易理解。使用<%!%>声明的变量是Servlet的实例变量,不是线程安全的,其他都是线程安全的。

<%!StringunsafeVar;%>//不是线程安全的  
<%StringsafeVar;%>//线程安全的 

  • 1.
  • 2.

总结:线程安全问题主要是由实例变量造成的,不管在Servlet和JSP,或者在Struts的Action里面,不要使用实例变量,任何方法里面都不要出现实例变量,你的程序就是线程安全的。

【编辑推荐】

  1. 安装Servlets和JSP
  2. 配置Servlet开发环境
  3. Future Response Servlet特性
  4. 详解JSP服务器的安装
  5. Jetty-Servlet容器额外功能
责任编辑:佚名 来源: 中国IT实验室
Servlet和JSP
相关推荐
JSPServlet区别
本文向您介绍JSP和Servlet的区别,从运作原理、技术更新等多个方面向您介绍JSP和Servlet技术。

2009-07-06 15:34:56

JSP和Servlet
ServletJSP技术特性
本文介绍Servlet和JSP新特性,JSP是servlet技术的一个扩展,而不是废弃servlet。在实际应用当中,servlet和JSP页面一起使用。

2009-07-09 10:49:56

Servlet和JSP
ServletJSP安全问题
本文介绍编写Servlet和JSP是容易的,但通常我们会面临很多安全问题,包括设置XML文件和运行实例代码。

2009-07-07 13:29:33

Servlet和JSP
JSP入门:介绍什么是JSPServlet
本文为JSP入门,为大家讲解JSP的基本原理和基本结构。

2009-07-07 14:04:55

JSP入门
ServletJSP经验总结
这里介绍Servlet和JSP经验总结,包括在servlet的init()方法中缓存数据、禁止Servlet和JSP自动重载、将页面输出进行压缩和正确地确定javabean的生命周期等七种实用的方法。

2009-08-20 17:35:47

Servlet和JSP
ServletJSP路径详细介绍
本文叙述Servlet和JSP路径详细介绍,以及解决站点根目录和css路径问题。

2009-07-03 11:21:43

Servlet和JSPJSP路径
JSP中JavaBeanServlet理解
在JSP开发中,JavaBean可以说是Java的一个类,JSP页面通过这么一个标签来引用这个JavaBean类,同时将处理的结果和一些信息显示在JSP页面上,可以说基本上实现了后台和前台的分离。

2009-06-25 14:26:07

JSPJavaBeanServlet
再谈如何理解JSPServlet概念
本文介绍了一些JSP和Servlet概念的个人理解。简单的来说Jsp就是含有Java代码的html,而servlet是含有html的Java代码。

2009-07-07 17:10:57

JSP和Servlet
Tomcat下JSPServletBean配置
本文介绍Tomcat下JSP、Servlet和Bean的配置,以及建立自己的JSPapp目录和建立自己的Servlet等。

2009-07-01 14:09:24

Servlet和BeaJSP
什么是JSP以及Servlet比较
什么是JSP?它和Servlet又有什么关系和比较呢?本文从一个简单的HelloWord程序向你简单明了的解释了其中的含义。

2009-07-02 09:13:25

什么是JSPServlet
JSPServlet应用安全问题
本文介绍JSP和Servlet应用的安全问题,在JSP系统中产生安全漏洞的机会是相当多的,下面我们将讨论它们中最常见的一部分。

2009-07-03 14:02:51

安装ServletJSP开发工具
本文介绍安装Servlet和JSP开发工具,以及安装支持Servlet的Web服务器包括ApacheTomcat.JavaServerWebDevelopmentKit等。

2009-07-08 15:25:56

Servlet和JSP
ServletJSP多线程同步问题
本文描述Servlet和JSP中的多线程同步问题,以及问题的解决方案,还介绍了在Servlet和JSP中的几种变量类型。

2009-07-01 17:34:03

Servlet和JSP
ServletJSP重定向技术综述
本文介绍Servlet和JSP中的重定向技术的综述,以及介绍修改HTTPheader的Location属性来重定向等。

2009-06-30 15:37:27

Servlet和JSP
Servlet JSP线程学习
本文介绍ServletJSP线程,Servlet规范已经声明Servlet不是线程安全的,所以在开发Servlet的时候要注要这个问题,JSP的本质是Servlet,所有只要明白了Servlet的安全问题,JSP的安全问题应该很容易理解。

2009-08-10 09:19:28

Servlet JSP
ServletJSP性能优化经验谈
本文介绍Servlet和JSP性能优化经验谈,以及介绍开发高性能、高弹性的Servlet和JSP页面的性能优化技术。

2009-06-29 15:39:53

Servlet和JSPServlet引擎
Servlet/JSP配置问题详解
ServletJSP配置是我们开始学习的基础,那么如何搭建一个ServletJSP的好的运行平台呢?本文向你介绍ServletJSP配置的基本情况。

2009-07-06 09:49:26

Servlet JSP
浅析ServletJsp多国语言显示
本文简单分析了Servlet、Jsp的多国语言显示的问题,也就是Servlet的多字符集问题,所有的语言中都是有相应编码的,因为在计算机内部字符串总是用内码来表示的,只不过一般计算机语言中的字符串编码时平台相关的,而Java则采用了平台无关的UNICODE。

2009-03-02 09:45:45

JSPServlet几个编码作用及原理
本文介绍JSP和Servlet中的几个编码的作用及原理,以及Tomcat5.0为WEB服务器时,如何防止中文乱码。

2009-06-29 16:24:00

JSP和Servlet
如何提升ServletJSP应用程序效率
本文的目的是通过对Servlet和JSP的一些调优技术来极大地提高你的应用程序的性能,并因此提升整个J2EE应用的性能。

2009-07-01 13:54:41

Servlet和JSP
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服