beomil ideas

<%@ page language=”java” contentType=”text/xml; charset=utf-8″ pageEncoding=”utf-8″%> <article> <article_no><%=”게시물번호”%></article_no> <content><![CDATA[<%=”글내용”%>]]></content> </article>   contenttype만 text/xml로 설정하시고 똑같이 out.printl 으로 출력

URL을 통해서 JSP 페이지에 직접 접근하는 것을 차단해야하는 경우가 있습니다. 특히 스트러츠처럼 프론트 콘틀롤러 패턴을 적용한 시스템에서는 서블릿 콘트롤러만이 JSP를 실행할 수 있어야하죠. 그런데 JSP 페이지를 일반 HTML 페이지와 동일하게 취급하여 배치하게 되면, 영리한(?) 사용자가 JSP 경로를 알아내어 서블릿을 통하지 않고 실행할 수가 있습니다. JSP 페이지를 매핑된 경로(*.do)를 통해 호출하는 것이 정상이지만, 여전히 JSP페이지는 URI접근에 노출되어 있기 때문에 사용자가 매핑경로를 통하지 않고 JSP 페이지를 실행하는 것을 막지는 못한다는 얘깁니다. 이를 해결할 여러 가지 방법이 있습니다. (1) JSP를 WEB-INF 디렉토리 밑에 두는 방법 모든 JSP 페이지를 WEB-INF 디렉토리 아래에 두는 방법입니다. WEB-INF 디렉토리는 클라이언트에게는 접근이 금지되어 있으나, 컨테이너는 접근이 허용됩니다. 다시 말하면 사용자는 WEB-INF 아래의 JSP 페이지를 URI 로 접근하여 실행할 […]