用web_xml控制Web应用的行为(上）

1 定义头和根元素

部署描述符文件就像所有XML文件一样，必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。

DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本（如2.2或2.3）并指定治理此文件其余部分内容的语法的DTD(Document Type Definition，文档类型定义)。

所有部署描述符文件的顶层（根）元素为web-app。请注重，XML元素不像Html，他们是大小写敏感的。因此，web-App和WEB-APP都是不合法的，web-app必须用小写。

2 部署描述符文件内的元素次序

XML元素不仅是大小写敏感的，而且它们还对出现在其他元素中的次序敏感。例如，XML头必须是文件中的第一项，DOCTYPE声明必须是第二项，而web-app元素必须是第三项。在web-app元素内，元素的次序也很重要。服务器不一定强制要求这种次序，但它们答应（实际上有些服务器就是这样做的）完全拒绝执行含有次序不正确的元素的Web应用。这表示使用非标准元素次序的web.xml文件是不可移植的。

下面的列表给出了所有可直接出现在web-app元素内的合法元素所必需的次序。例如，此列表说明servlet元素必须出现在所有servlet-mapping元素之前。请注重，所有这些元素都是可选的。因此，可以省略掉某一元素，但不能把它放于不正确的位置。

l icon icon元素指出IDE和GUI工具用来表示Web应用的一个和两个图像文件的位置。

l display-name display-name元素提供GUI工具可能会用来标记这个特定的Web应用的一个名称。

l description description元素给出与此有关的说明性文本。

l context-param context-param元素声明应用范围内的初始化参数。

l filter 过滤器元素将一个名字与一个实现Javax.servlet.Filter接口的类相关联。

l filter-mapping 一旦命名了一个过滤器，就要利用filter-mapping元素把它与一个或多个servlet或jsp页面相关联。

l listener servlet API的版本2.3增加了对事件监听程序的支持，事件监听程序在建立、修改和删除会话或servlet环境时得到通知。Listener元素指出事件监听程序类。

l servlet 在向servlet或JSP页面制定初始化参数或定制URL时，必须首先命名servlet或JSP页面。Servlet元素就是用来完成此项任务的。

l servlet-mapping 服务器一般为servlet提供一个缺省的URL：http://host/webAppPrefix/servlet/ServletName。但是，经常会更改这个URL，以便servlet可以访问初始化参数或更轻易地处理相对URL。在更改缺省URL时，使用servlet-mapping元素。

l session-config 假如某个会话在一定时间内未被访问，服务器可以抛弃它以节省内存。可通过使用HttpSession的setMaxInactiveInterval方法明确设置单个会话对象的超时值，或者可利用session-config元素制定缺省超时值。

l mime-mapping 假如Web应用具有想到非凡的文件，希望能保证给他们分配特定的MIME类型，则mime-mapping元素提供这种保证。

l welcom-file-list welcome-file-list元素指示服务器在收到引用一个目录名而不是文件名的URL时，使用哪个文件。

l error-page error-page元素使得在返回特定HTTP状态代码时，或者特定类型的异常被抛出时，能够制定将要显示的页面。

l taglib taglib元素对标记库描述符文件（Tag Libraryu Descriptor file）指定别名。此功能使你能够更改TLD文件的位置，而不用编辑使用这些文件的JSP页面。

l resource-env-ref resource-env-ref元素声明与资源相关的一个治理对象。

l resource-ref resource-ref元素声明一个资源工厂使用的外部资源。

l security-constraint security-constraint元素制定应该保护的URL。它与login-config元素联合使用

l login-config 用login-config元素来指定服务器应该怎样给试图访问受保护页面的用户授权。它与sercurity-constraint元素联合使用。

l security-role security-role元素给出安全角色的一个列表，这些角色将出现在servlet元素内的security-role-ref元素的role-name子元素中。分别地声明角色可使高级IDE处理安全信息更为轻易。

l env-entry env-entry元素声明Web应用的环境项。

l ejb-ref ejb-ref元素声明一个EJB的主目录的引用。

l ejb-local-ref ejb-local-ref元素声明一个EJB的本地主目录的应用。

3 分配名称和定制的UL

在web.xml中完成的一个最常见的任务是对servlet或JSP页面给出名称和定制的URL。用servlet元素分配名称，使用servlet-mapping元素将定制的URL与刚分配的名称相关联。

3.1 分配名称

为了提供初始化参数，对servlet或JSP页面定义一个定制URL或分配一个安全角色，必须首先给servlet或JSP页面一个名称。可通过servlet元素分配一个名称。最常见的格式包括servlet-name和servlet-class子元素（在web-app元素内），如下所示：

<servlet-name>Test</servlet-name>

<servlet-class>moreservlets.TestServlet</servlet-class>

</servlet>

这表示位于WEB-INF/classes/moreservlets/TestServlet的servlet已经得到了注册名Test。给servlet一个名称具有两个主要的含义。首先，初始化参数、定制的URL模式以及其他定制通过此注册名而不是类名引用此servlet。其次,可在URL而不是类名中使用此名称。因此，利用刚才给出的定义，URL http://host/webAppPrefix/servlet/Test 可用于 http://host/webAppPrefix/servlet/moreservlets.TestServlet 的场所。

请记住：XML元素不仅是大小写敏感的，而且定义它们的次序也很重要。例如，web-app元素内所有servlet元素必须位于所有servlet-mapping元素（下一小节介绍）之前，而且还要位于5.6节和5.11节讨论的与过滤器或文档相关的元素（假如有的话）之前。类似地，servlet的servlet-name子元素也必须出现在servlet-class之前。5.2节"部署描述符文件内的元素次序"将具体介绍这种必需的次序。

例如，程序清单5-1给出了一个名为TestServlet的简单servlet，它驻留在moreservlets程序包中。因为此servlet是扎根在一个名为deployDemo的目录中的Web应用的组成部分，所以TestServlet.class放在deployDemo/WEB-INF/classes/moreservlets中。程序清单5-2给出将放置在deployDemo/WEB-INF/内的web.xml文件的一部分。此web.xml文件使用servlet-name和servlet-class元素将名称Test与TestServlet.class相关联。图5-1和图5-2分别显示利用缺省URL和注册名调用TestServlet时的结果。

程序清单5-1 TestServlet.java

package moreservlets;

import java.io.*;

import javax.servlet.*;

import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet naming

* and custom URLs.

* <P>

* Taken from More Servlets and JavaServer Pages

* from Prentice Hall and Sun Microsystems Press,

* http://www.moreservlets.com/.

* ? 2002 Marty Hall; may be freely used or adapted.

public class TestServlet extends HttpServlet {

public void doGet(HttpServletRequest request,

HttpServletResponse response)

throws ServletException, IOException {

response.setContentType("text/html");

PrintWriter out = response.getWriter();

String uri = request.getRequestURI();

out.println(ServletUtilities.headWithTitle("Test Servlet") +

"<BODY BGCOLOR="#FDF5E6"> " +

"<H2>URI: " + uri + "</H2> " +

"</BODY></HTML>");

}

程序清单5-2 web.xml（说明servlet名称的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<servlet-name>Test</servlet-name>

<servlet-class>moreservlets.TestServlet</servlet-class>

</servlet>

</web-app>

3.2 定义定制的URL

大多数服务器具有一个缺省的serlvet URL：

http://host/webAppPrefix/servlet/packageName.ServletName。虽然在开发中使用这个URL很方便，但是我们经常会希望另一个URL用于部署。例如，可能会需要一个出现在Web应用顶层的URL（如，http://host/webAppPrefix/Anyname），并且在此URL中没有servlet项。位于顶层的URL简化了相对URL的使用。此外，对许多开发人员来说，顶层URL看上去比更长更麻烦的缺省URL更简短。

事实上，有时需要使用定制的URL。比如，你可能想关闭缺省URL映射，以便更好地强制实施安全限制或防止用户意外地访问无初始化参数的servlet。假如你禁止了缺省的URL，那么你怎样访问servlet呢？这时只有使用定制的URL了。

为了分配一个定制的URL，可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet-name元素提供了一个任意名称，可利用此名称引用相应的servlet；url-pattern描述了相对于Web应用的根目录的URL。url-pattern元素的值必须以斜杠（/）起始。

下面给出一个简单的web.xml摘录，它答应使用URL http://host/webAppPrefix/UrlTest而不是http://host/webAppPrefix/servlet/Test或

http://host/webAppPrefix/servlet/moreservlets.TestServlet。请注重，仍然需要XML头、DOCTYPE声明以及web-app封闭元素。此外，可回忆一下，XML元素出现地次序不是随意的。非凡是，需要把所有servlet元素放在所有servlet-mapping元素之前。

<servlet-name>Test</servlet-name>

<servlet-class>moreservlets.TestServlet</servlet-class>

</servlet>

<servlet-mapping>

<servlet-name>Test</servlet-name>

<url-pattern>/UrlTest</url-pattern>

</servlet-mapping>

URL模式还可以包含通配符。例如，下面的小程序指示服务器发送所有以Web应用的URL前缀开始，以..ASP结束的请求到名为BashMS的servlet。

<servlet-name>BashMS</servlet-name>

<servlet-class>msUtils.ASPTranslator</servlet-class>

</servlet>

<servlet-mapping>

<servlet-name>BashMS</servlet-name>

<url-pattern>/*.asp</url-pattern>

</servlet-mapping>

3.3 命名JSP页面

因为JSP页面要转换成sevlet，自然希望就像命名servlet一样命名JSP页面。究竟，JSP页面可能会从初始化参数、安全设置或定制的URL中受益，正如普通的serlvet那样。虽然JSP页面的后台实际上是servlet这句话是正确的，但存在一个要害的猜疑：即，你不知道JSP页面的实际类名（因为系统自己挑选这个名字）。因此，为了命名JSP页面，可将jsp-file元素替换为servlet-calss元素，如下所示：

<servlet-name>Test</servlet-name>

<jsp-file>/TestPage.jsp</jsp-file>

</servlet>

命名JSP页面的原因与命名servlet的原因完全相同：即为了提供一个与定制设置（如，初始化参数和安全设置）一起使用的名称，并且，以便能更改激活JSP页面的URL（比方说，以便多个URL通过相同页面得以处理，或者从URL中去掉.jsp扩展名）。但是，在设置初始化参数时，应该注重，JSP页面是利用jspInit方法，而不是init方法读取初始化参数的。

例如，程序清单5-3给出一个名为TestPage.jsp的简单JSP页面，它的工作只是打印出用来激活它的URL的本地部分。TestPage.jsp放置在deployDemo应用的顶层。程序清单5-4给出了用来分配一个注册名PageName，然后将此注册名与http://host/webAppPrefix/UrlTest2/anything 形式的URL相关联的web.xml文件（即，deployDemo/WEB-INF/web.xml）的一部分。

程序清单5-3 TestPage.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>

<HEAD>

<TITLE>

JSP Test Page

</TITLE>

</HEAD>

</BODY>

</HTML>

程序清单5-4 web.xml（说明JSP页命名的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<servlet-name>PageName</servlet-name>

<jsp-file>/TestPage.jsp</jsp-file>

</servlet>

<servlet-mapping>

<servlet-name> PageName </servlet-name>

<url-pattern>/UrlTest2/*</url-pattern>

</servlet-mapping>

</web-app>

4 禁止激活器servlet

对servlet或JSP页面建立定制URL的一个原因是，这样做可以注册从init（servlet）或jspInit（JSP页面）方法中读取得初始化参数。但是，初始化参数只在是利用定制URL模式或注册名访问servlet或JSP页面时可以使用，用缺省URL http://host/webAppPrefix/servlet/ServletName 访问时不能使用。因此，你可能会希望关闭缺省URL，这样就不会有人意外地调用初始化servlet了。这个过程有时称为禁止激活器servlet，因为多数服务器具有一个用缺省的servlet URL注册的标准servlet，并激活缺省的URL应用的实际servlet。

有两种禁止此缺省URL的主要方法：

l 在每个Web应用中重新映射/servlet/模式。

l 全局关闭激活器servlet。

重要的是应该注重到，虽然重新映射每个Web应用中的/servlet/模式比彻底禁止激活servlet所做的工作更多，但重新映射可以用一种完全可移植的方式来完成。相反，全局禁止激活器servlet完全是针对具体机器的，事实上有的服务器（如ServletExec）没有这样的选择。下面的讨论对每个Web应用重新映射/servlet/ URL模式的策略。后面提供在Tomcat中全局禁止激活器servlet的具体内容。

4.1 重新映射/servlet/URL模式

在一个特定的Web应用中禁止以http://host/webAppPrefix/servlet/ 开始的URL的处理非常简单。所需做的事情就是建立一个错误消息servlet，并使用前一节讨论的url-pattern元素将所有匹配请求转向该servlet。只要简单地使用：

<url-pattern>/servlet/*</url-pattern>

作为servlet-mapping元素中的模式即可。

例如，程序清单5-5给出了将SorryServlet servlet（程序清单5-6）与所有以http://host/webAppPrefix/servlet/ 开头的URL相关联的部署描述符文件的一部分。

程序清单5-5 web.xml（说明JSP页命名的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<servlet-name>Sorry</servlet-name>

<servlet-class>moreservlets.SorryServlet</servlet-class>

</servlet>

<servlet-mapping>

<servlet-name> Sorry </servlet-name>

<url-pattern>/servlet/*</url-pattern>

</servlet-mapping>

</web-app>

程序清单5-6 SorryServlet.java

package moreservlets;

import java.io.*;

import javax.servlet.*;

import javax.servlet.http.*;

/** Simple servlet used to give error messages to

* users who try to Access default servlet URLs

* (i.e., http://host/webAppPrefix/servlet/ServletName)

* in Web applications that have disabled this

* behavior.

* <P>

* Taken from More Servlets and JavaServer Pages

* from Prentice Hall and Sun Microsystems Press,

* http://www.moreservlets.com/.

* ? 2002 Marty Hall; may be freely used or adapted.

public class SorryServlet extends HttpServlet {

public void doGet(HttpServletRequest request,

HttpServletResponse response)

throws ServletException, IOException {

response.setContentType("text/html");

PrintWriter out = response.getWriter();

String title = "Invoker Servlet Disabled.";

out.println(ServletUtilities.headWithTitle(title) +

"<BODY BGCOLOR="#FDF5E6"> " +

"<H2>" + title + "</H2> " +

"Sorry, access to servlets by means of " +

"URLs that begin with " +

"http://host/webAppPrefix/servlet/ " +

"has been disabled. " +

"</BODY></HTML>");

}

public void doPost(HttpServletRequest request,

HttpServletResponse response)

throws ServletException, IOException {

doGet(request, response);

}

4.2 全局禁止激活器：Tomcat

Tomcat 4中用来关闭缺省URL的方法与Tomcat 3中所用的很不相同。下面介绍这两种方法：

1．禁止激活器： Tomcat 4

Tomcat 4用与前面相同的方法关闭激活器servlet，即利用web.xml中的url-mapping元素进行关闭。不同之处在于Tomcat使用了放在install_dir/conf中的一个服务器专用的全局web.xml文件，而前面使用的是存放在每个Web应用的WEB-INF目录中的标准web.xml文件。

因此，为了在Tomcat 4中关闭激活器servlet，只需在install_dir/conf/web.xml中简单地注释出/servlet/* URL映射项即可，如下所示：

<!--

<servlet-mapping>

<servlet-name>invoker</servlet-name>

<url-pattern>/servlet/*</url-pattern>

</servlet-mapping>

-->

再次提醒，应该注重这个项是位于存放在install_dir/conf的Tomcat专用的web.xml文件中的，此文件不是存放在每个Web应用的WEB-INF目录中的标准web.xml。

2．禁止激活器：Tomcat3

在Apache Tomcat的版本3中，通过在install_dir/conf/server.xml中注释出InvokerInterceptor项全局禁止缺省servlet URL。例如，下面是禁止使用缺省servlet URL的server.xml文件的一部分。

<!--

<RequsetInterceptor

className="org.apache.tomcat.request.InvokerInterceptor"

debug="0" prefix="/servlet/" />

-->

5 初始化和预装载servlet与JSP页面

这里讨论控制servlet和JSP页面的启动行为的方法。非凡是，说明了怎样分配初始化参数以及怎样更改服务器生存期中装载servlet和JSP页面的时刻。

5.1 分配servlet初始化参数

利用init-param元素向servlet提供初始化参数，init-param元素具有param-name和param-value子元素。例如，在下面的例子中，假如initServlet servlet是利用它的注册名（InitTest）访问的，它将能够从其方法中调用getServletConfig().getInitParameter("param1")获得"Value 1"，调用getServletConfig().getInitParameter("param2")获得"2"。

<servlet-name>InitTest</servlet-name>

<servlet-class>moreservlets.InitServlet</servlet-class>

<init-param>

<param-name>param1</param-name>

<param-value>value1</param-value>

</init-param>

<init-param>

<param-name>param2</param-name>

<param-value>2</param-value>

</init-param>

</servlet>

在涉及初始化参数时，有几点需要注重：

l 返回值。GetInitParameter的返回值总是一个String。因此，在前一个例子中，可对param2使用Integer.parseInt获得一个int。

l JSP中的初始化。JSP页面使用jspInit而不是init。JSP页面还需要使用jsp-file元素代替servlet-class。

l 缺省URL。初始化参数只在通过它们的注册名或与它们注册名相关的定制URL模式访问Servlet时可以使用。因此，在这个例子中，param1和param2初始化参数将能够在使用URL http://host/webAppPrefix/servlet/InitTest 时可用，但在使用URL http://host/webAppPrefix/servlet/myPackage.InitServlet 时不能使用。

例如，程序清单5-7给出一个名为InitServlet的简单servlet，它使用init方法设置firstName和emailAddress字段。程序清单5-8给出分配名称InitTest给servlet的web.xml文件。

程序清单5-7 InitServlet.java

package moreservlets;

import java.io.*;

import javax.servlet.*;

import javax.servlet.http.*;

/** Simple servlet used to illustrate servlet

* initialization parameters.

* <P>

* Taken from More Servlets and JavaServer Pages

* from Prentice Hall and Sun Microsystems Press,

* http://www.moreservlets.com/.

* ? 2002 Marty Hall; may be freely used or adapted.

public class InitServlet extends HttpServlet {

private String firstName, emailAddress;

public void init() {

ServletConfig config = getServletConfig();

firstName = config.getInitParameter("firstName");

emailAddress = config.getInitParameter("emailAddress");

}

public void doGet(HttpServletRequest request,

HttpServletResponse response)

throws ServletException, IOException {

response.setContentType("text/html");

PrintWriter out = response.getWriter();

String uri = request.getRequestURI();

out.println(ServletUtilities.headWithTitle("Init Servlet") +

"<BODY BGCOLOR="#FDF5E6"> " +

"<H2>Init Parameters:</H2> " +

"<UL> " +

"<LI>First name: " + firstName + " " +

"<LI>Email address: " + emailAddress + " " +

"</UL> " +

"</BODY></HTML>");

}

程序清单5-8 web.xml（说明初始化参数的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<servlet-name>InitTest</servlet-name>

<servlet-class>moreservlets.InitServlet</servlet-class>

<init-param>

<param-name>firstName</param-name>

<param-value>Larry</param-value>

</init-param>

<init-param>

<param-name>emailAddress</param-name>

<param-value>Ellison@Microsoft.com</param-value>

</init-param>

</servlet>

</web-app>

5.2 分配JSP初始化参数

给JSP页面提供初始化参数在三个方面不同于给servlet提供初始化参数。

1）使用jsp-file而不是servlet-class。因此，WEB-INF/web.xml文件的servlet元素如下所示：

<servlet-name>PageName</servlet-name>

<jsp-file>/RealPage.jsp</jsp-file>

<init-param>

<param-name>...</param-name>

<param-value>...</param-value>

</init-param>

...

</servlet>

2)几乎总是分配一个明确的URL模式。对servlet，一般相应地使用以http://host/webAppPrefix/servlet/ 开始的缺省URL。只需记住，使用注册名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如，在上面给出的例子中，可用URL http://host/webAppPrefix/servlet/PageName 访问RealPage.jsp的对初始化参数具有访问权的版本。但在用于JSP页面时，许多用户似乎不喜欢应用常规的servlet的URL。此外，假如JSP页面位于服务器为其提供了目录清单的目录中（如，一个既没有index.html也没有index.jsp文件的目录），则用户可能会连接到此JSP页面，单击它，从而意外地激活未初始化的页面。因此，好的办法是使用url-pattern（5.3节）将JSP页面的原URL与注册的servlet名相关联。这样，客户机可使用JSP页面的普通名称，但仍然激活定制的版本。例如，给定来自项目1的servlet定义，可使用下面的servlet-mapping定义：

<servlet-mapping>

<servlet-name>PageName</servlet-name>

<url-pattern>/RealPage.jsp</url-pattern>

</servlet-mapping>

3）JSP页使用jspInit而不是init。自动从JSP页面建立的servlet或许已经使用了inti方法。因此，使用JSP声明提供一个init方法是不合法的，必须制定jspInit方法。

为了说明初始化JSP页面的过程，程序清单5-9给出了一个名为InitPage.jsp的JSP页面，它包含一个jspInit方法且放置于deployDemo Web应用层次结构的顶层。一般，http://host/deployDemo/InitPage.jsp 形式的URL将激活此页面的不具有初始化参数访问权的版本，从而将对firstName和emailAddress变量显示null。但是，web.xml文件（程序清单5-10）分配了一个注册名，然后将该注册名与URL模式/InitPage.jsp相关联。

程序清单5-9 InitPage.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>

<H2>Init Parameters:</H2>

<UL>

<LI>First name: <%= firstName %>

<LI>Email address: <%= emailAddress %>

</UL>

</BODY></HTML>

<%!

private String firstName, emailAddress;

public void jspInit() {

ServletConfig config = getServletConfig();

firstName = config.getInitParameter("firstName");

emailAddress = config.getInitParameter("emailAddress");

}

程序清单5-10 web.xml（说明JSP页面的init参数的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<servlet-name>InitPage</servlet-name>

<jsp-file>/InitPage.jsp</jsp-file>

<init-param>

<param-name>firstName</param-name>

<param-value>Bill</param-value>

</init-param>

<init-param>

<param-name>emailAddress</param-name>

<param-value>gates@Oracle.com</param-value>

</init-param>

</servlet>

<servlet-mapping>

<servlet-name> InitPage</servlet-name>

<url-pattern>/InitPage.jsp</url-pattern>

</servlet-mapping>

</web-app>

供更多有用的信息。另一方面，可以试一下在www.microsoft.com、www.ibm.com 处或者非凡是在www.bea.com 处输出未知的文件名。这是会得出有用的消息，这些消息提供可选择的位置，以便查找感爱好的页面。提供这样有用的错误页面对于Web应用来说是很有价值得。事实上，http://www.plinko.net/404/ 就是把整个站点专门用于404错误页面这个内容。这个站点包含来自全世界最好、最糟和最搞笑的404页面。

程序清单5-13给出一个JSP页面，此页面可返回给提供位置程序名的客户机。程序清单5-14给出指定程序清单5-13作为返回404错误代码时显示的页面的web.xml。请注重，浏览器中显示的URL仍然是客户机所提供的。错误页面是一种后台实现技术。

最后一点，请记住IE5的缺省配置显然不符合HTTP规范，它忽略了服务器生成的错误消息，而是显示自己的标准出错信息。可转到其Tools菜单，选择Internet Options，单击Advanced，取消Show Friendly HTTP Error Message来解决此问题。

程序清单5-13 NotFound.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>

<HEAD><TITLE>404: Not Found</TITLE></HEAD>

<H2>Error!</H2>

I'm sorry, but I cannot find a page that matches

<%= request.getRequestURI() %> on the system. Maybe you should

try one of the following:

<UL>

<LI>Go to the server's <A HREF="/">home page</A>.

<LI>Search for relevant pages.<BR>

KeyWords: <INPUT TYPE="TEXT" NAME="q"><BR>

</CENTER>

</FORM>

<LI>Admire a random multiple of 404:

<%= 404*((int)(1000*Math.random())) %>.

<LI>Try a <A HREF="http://www.plinko.net/404/rndindex.asp"

TARGET="_blank">

random 404 error message</A>. From the amazing and

amusing plinko.net <A HREF="http://www.plinko.net/404/">

404 archive</A>.

</UL>

</BODY></HTML>

程序清单5-14 web.xml（指出HTTP错误代码的错误页面的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<error-page>

<error-code>404</error-code>

<location>/NotFound.jsp</location>

</error-page>

</web-app>

8.2 exception-type元素

error-code元素处理某个请求产生一个特定的HTTP状态代码时的情况。然而，对于servlet或JSP页面返回200但产生运行时异常这种同样是常见的情况怎么办呢？这正是exception-type元素要处理的情况。只需提供两样东西即可：即提供如下的一个完全限定的异常类和一个位置：

<error-page>

<exception-type>packageName.className</exception-type>

<location>/SomeURL</location>

</error-page>

这样，假如Web应用中的任何servlet或JSP页面产生一个特定类型的未捕捉到的异常，则使用指定的URL。此异常类型可以是一个标准类型，如javax.ServletException或java.lang.OutOfMemoryError，或者是一个专门针对你的应用的异常。

例如，程序清单5-15给出了一个名为DumbDeveloperException的异常类，可用它来非凡标记经验较少的程序员（不是说你的开发组中一定有这种人）所犯的错误。这个类还包含一个名为dangerousComputation的静态方法，它时不时地生成这种类型的异常。程序清单5-16给出对随机整数值调用dangerousCompution的一个JSP页面。在抛出此异常时，如程序清单5-18的web.xml版本中所给出的exception-type所指出的那样，对客户机显示DDE.jsp（程序清单5-17）。图5-16和图5-17分别给出幸运和不幸的结果。

程序清单5-15 DumbDeveloperException.java

package moreservlets;

/** Exception used to flag particularly oNerous

programmer blunders. Used to illustrate the

exception-type web.xml element.

* <P>

* Taken from More Servlets and JavaServer Pages

* from Prentice Hall and Sun Microsystems Press,

* http://www.moreservlets.com/.

* ? 2002 Marty Hall; may be freely used or adapted.

public class DumbDeveloperException extends Exception {

public DumbDeveloperException() {

super("Duh. What was I *thinking*?");

}

public static int dangerousComputation(int n)

throws DumbDeveloperException {

if (n < 5) {

return(n + 10);

} else {

throw(new DumbDeveloperException());

}

程序清单5-16 RiskyPage.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>

<HEAD><TITLE>Risky JSP Page</TITLE></HEAD>

<H2>Risky Calculations</H2>

<%@ page import="moreservlets.*" %>

<% int n = ((int)(10 * Math.random())); %>

<UL>

<LI>dangerousComputation(n):

<%= DumbDeveloperException.dangerousComputation(n) %>

</UL>

</BODY></HTML>

程序清单5-17 DDE.jsp

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML>

<H2>Dumb Developer</H2>

We're brain dead. Consider using our competitors.

</BODY></HTML>

程序清单5-18 web.xml（为异常指定错误页面的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<error-page>

<exception-type>

moreservlets.DumbDeveloperException

</exception-type>

</error-page>

</web-app>

9 提供安全性

利用web.xml中的相关元素为服务器的内建功能提供安全性。

9.1 指定验证的方法

使用login-confgi元素规定服务器应该怎样验证试图访问受保护页面的用户。它包含三个可能的子元素，分别是：auth-method、realm-name和form-login-config。login-config元素应该出现在web.xml部署描述符文件的结尾四周，紧跟在security-constraint元素之后。

l auth-method

BASIC指出应该使用标准的HTTP验证，在此验证中服务器检查Authorization头。假如缺少这个头则返回一个401状态代码和一个WWW-Authenticate头。这导致客户机弹出一个用来填写Authorization头的对话框。此机制很少或不提供对攻击者的防范，这些攻击者在Internet连接上进行窥探（如通过在客户机的子网上执行一个信息包探测装置），因为用户名和口令是用简单的可逆base64编码发送的，他们很轻易得手。所有兼容的服务器都需要支持BASIC验证。

DIGEST指出客户机应该利用加密Digest Authentication形式传输用户名和口令。这提供了比BASIC验证更高的防范网络截取得的安全性，但这种加密比SSL（HTTPS）所用的方法更轻易破解。不过，此结论有时没有意义，因为当前很少有浏览器支持Digest Authentication，所以servlet容器不需要支持它。

FORM指出服务器应该检查保留的会话cookie并且把不具有它的用户重定向到一个指定的登陆页。此登陆页应该包含一个收集用户名和口令的常规HTML表单。在登陆之后，利用保留会话级的cookie跟踪用户。虽然很复杂，但FORM验证防范网络窥探并不比BASIC验证更安全，假如有必要可以在顶层安排诸如SSL或网络层安全（如IPSEC或VPN）等额外的保护。所有兼容的服务器都需要支持FORM验证。

CLIENT-CERT规定服务器必须使用HTTPS（SSL之上的HTTP）并利用用户的公开密钥证书（Pulic Key Certificat）对用户进行验证。这提供了防范网络截取的很强的安全性，但只有兼容J2EE的服务器需要支持它。

l realm-name

此元素只在auth-method为BASIC时使用。它指出浏览器在相应对话框标题使用的、并作为Authorization头组成部分的安全域的名称。

l form-login-config

此元素只在auth-method为FORM时适用。它指定两个页面，分别是：包含收集用户名及口令的HTML表单的页面（利用form-login-page子元素），用来指示验证失败的页面（利用form-error-page子元素）。由form-login-page给出的HTML表单必须具有一个j_security_check的ACTION属性、一个名为j_username的用户名文本字段以及一个名为j_password的口令字段。

例如，程序清单5-19指示服务器使用基于表单的验证。Web应用的顶层目录中的一个名为login.jsp的页面将收集用户名和口令，并且失败的登陆将由相同目录中名为login-error.jsp的页面报告。

程序清单5-19 web.xml（说明login-config的摘录）

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE web-app

PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"

"http://java.sun.com/dtd/web-app_2_3.dtd">

<web-app>

<security-constraint> ... </security-constraint>

<login-config>

<auth-method> FORM </auth-method>

<form-login-config>

<form-login-page>/login.jsp</form-login-page>

<form-error-page>/login-error.jsp</form-error-page>

</form-login-config>

</login-config>

</web-app>

未完待续.