servlet 和 jsp 是 java web 开发的核心组件。1. servlet 负责处理请求和业务逻辑，jsp 负责数据展示，两者协同工作，实现动态 web 应用；2. servlet 生命周期包括加载、初始化、处理请求和销毁四个阶段，init()、service() 和 destroy() 方法分别对应这些阶段，合理使用生命周期方法可提升应用性能与稳定性；3. jsp 提供隐式对象如 request、response、session、application 等，无需声明即可直接使用，简化页面开发；4. 常见安全漏洞包括 xss、sql 注入、csrf 和会话劫持，防范措施包括输入验证、html 编码、参数化查询、csrf token 及使用 https 加密等，确保 web 应用安全性。理解这些内容是成为合格 java web 开发者的关键。

Servlet 和 JSP 是 Java Web 开发的基石。它们共同构建了动态 Web 应用的基础架构。Servlet 负责处理请求和业务逻辑，JSP 负责展示数据。理解它们的工作原理和相互关系，是成为一名合格 Java Web 开发者的必要条件。

Servlet 和 JSP 协同工作，Servlet 接收客户端请求，处理数据，并将数据传递给 JSP 页面，JSP 页面负责将数据格式化并呈现给用户。

Servlet 和 JSP 都是 Java EE 技术规范的一部分，由 Sun Microsystems (现在是 Oracle) 定义。

立即学习“Java免费学习笔记（深入）”；

Servlet 和 JSP 的结合使用，使得 Java Web 开发更加高效和灵活。

Servlet 生命周期详解：从初始化到销毁

Servlet 的生命周期是理解 Servlet 工作原理的关键。它包括加载、初始化、处理请求和销毁四个阶段。

1. 加载：当 Web 容器 (例如 Tomcat) 启动时，或者在收到第一个针对特定 Servlet 的请求时，容器会加载 Servlet 类。

2. 初始化：容器加载 Servlet 类后，会创建 Servlet 实例，并调用 init() 方法进行初始化。init() 方法只会被调用一次，用于执行一些初始化操作，例如读取配置文件、建立数据库连接等。

   public void init() throws ServletException {
       // 初始化操作，例如读取配置文件
       ServletContext context = getServletContext();
       String configParam = context.getInitParameter("configParam");
       System.out.println("Config Param: " + configParam);
   }

3. 处理请求：当客户端发送请求到 Servlet 时，容器会调用 Servlet 的 service() 方法来处理请求。service() 方法会根据 HTTP 请求的方法 (GET、POST 等) 调用相应的 doGet()、doPost() 等方法。

   protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
       // 处理 GET 请求
       response.setContentType("text/html");
       PrintWriter out = response.getWriter();
       out.println("
Hello, GET Request!
");
   }

4. 销毁：当 Web 应用被停止或重新部署时，容器会先调用 Servlet 的 destroy() 方法进行销毁。destroy() 方法只会被调用一次，用于释放资源，例如关闭数据库连接、释放文件句柄等。

   public void destroy() {
       // 释放资源，例如关闭数据库连接
       System.out.println("Servlet destroyed");
   }

理解 Servlet 生命周期有助于编写高效、稳定的 Web 应用。例如，可以将一些耗时的初始化操作放在 init() 方法中，避免每次请求都执行这些操作。同样，在 destroy() 方法中释放资源，可以避免资源泄漏。

JSP 隐式对象：无需声明即可使用的内置对象

JSP 提供了一组隐式对象，无需声明即可在 JSP 页面中直接使用。这些对象提供了访问请求、响应、会话等信息的便捷方式。

JenMusic

一个新兴的AI音乐生成平台，专注于多乐器音乐创作。

下载

常用的 JSP 隐式对象包括：

• request：HttpServletRequest 类的实例，代表客户端的请求。可以通过 request 对象获取请求参数、请求头等信息。
• response：HttpServletResponse 类的实例，代表服务器的响应。可以通过 response 对象设置响应头、响应内容等。
• session：HttpSession 类的实例，代表用户的会话。可以通过 session 对象存储和获取用户会话数据。
• application：ServletContext 类的实例，代表 Web 应用的上下文。可以通过 application 对象获取 Web 应用的初始化参数、共享数据等。
• out：JspWriter 类的实例，用于向客户端输出内容。
• pageContext：PageContext 类的实例，代表 JSP 页面的上下文。可以通过 pageContext 对象访问其他隐式对象、设置页面属性等。
• config：ServletConfig 类的实例，代表 Servlet 的配置信息。
• page：Object 类的实例，代表当前 JSP 页面本身。通常不直接使用。
• exception：Throwable 类的实例，代表 JSP 页面中发生的异常。只有在 errorPage 页面中才能使用。

例如，可以使用 request 对象获取客户端传递的参数：

<%
    String username = request.getParameter("username");
    if (username != null) {
        out.println("Hello, " + username + "!");
    } else {
        out.println("Please enter your username.");
    }
%>

或者使用 session 对象存储用户登录信息：

<%
    session.setAttribute("loggedIn", true);
%>

熟练使用 JSP 隐式对象可以简化 JSP 页面的开发，提高开发效率。

如何避免 Servlet 和 JSP 中的常见安全漏洞

Servlet 和 JSP 作为 Web 应用的核心组件，容易受到各种安全攻击。了解常见的安全漏洞并采取相应的防范措施至关重要。

• 跨站脚本攻击 (XSS)：XSS 攻击是指攻击者将恶意脚本注入到 Web 页面中，当用户浏览页面时，恶意脚本会被执行，从而窃取用户信息或进行其他恶意操作。

  • 防范措施：对用户输入进行严格的验证和过滤，避免将用户输入直接输出到页面中。使用 HTML 编码对输出内容进行转义，防止恶意脚本被执行。

  // 使用 OWASP ESAPI 库进行 HTML 编码
  String encodedUsername = ESAPI.encoder().encodeForHTML(username);
  out.println("Hello, " + encodedUsername + "!");

• SQL 注入攻击：SQL 注入攻击是指攻击者通过在用户输入中插入恶意 SQL 代码，从而篡改或窃取数据库中的数据。

  • 防范措施：使用参数化查询或预编译语句，避免将用户输入直接拼接到 SQL 语句中。对用户输入进行严格的验证和过滤，防止恶意 SQL 代码被注入。

  // 使用 PreparedStatement 避免 SQL 注入
  String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
  PreparedStatement pstmt = connection.prepareStatement(sql);
  pstmt.setString(1, username);
  pstmt.setString(2, password);
  ResultSet rs = pstmt.executeQuery();

• 跨站请求伪造 (CSRF)：CSRF 攻击是指攻击者伪造用户请求，在用户不知情的情况下执行恶意操作。

  • 防范措施：使用 CSRF Token，在每个请求中包含一个随机生成的 Token，服务器端验证 Token 的有效性。

  // 生成 CSRF Token
  String csrfToken = UUID.randomUUID().toString();
  session.setAttribute("csrfToken", csrfToken);

  // 在表单中包含 CSRF Token
  ">

  // 验证 CSRF Token
  String csrfToken = request.getParameter("csrfToken");
  String sessionCsrfToken = (String) session.getAttribute("csrfToken");
  if (csrfToken == null || !csrfToken.equals(sessionCsrfToken)) {
      // CSRF 攻击
      response.sendError(HttpServletResponse.SC_FORBIDDEN, "CSRF attack detected");
      return;
  }

• 会话劫持：会话劫持是指攻击者窃取用户的会话 ID，从而冒充用户进行操作。

  • 防范措施：使用 HTTPS 加密传输会话 ID，防止会话 ID 被窃取。设置会话过期时间，避免会话长期有效。在用户登录后，重新生成会话 ID，防止会话固定攻击。

  // 用户登录后，重新生成会话 ID
  HttpSession session = request.getSession(false);
  if (session != null) {
      session.invalidate();
  }
  session = request.getSession(true);

除了以上常见的安全漏洞，还有很多其他的安全风险需要关注。建议定期进行安全审计，及时修复安全漏洞，确保 Web 应用的安全。