JSP开发者要万万小心的数据范围漏洞

JSP开发者要万万小心的数据范围漏洞

不知是很多教科书的懒惰还是其他什么，总之JSP中的数据定义方式的变量范围被忽略了。近日的调试才发现这个非常严重的问题。大家一起研究一下，因为这绝对是个严重的不能再严重的问题了。

JSP中有两种定义变量的方式，一种是"<%! ... %>"方式，另一种是"<% ... %>"方式。估计几乎所有的教科书上都是写<%! ... %>这种定义方式，(by gashero)而大家也就忽略了后一种方式，实际山他们有着非常大的区别，就是在于变量的定义域。查看JSP生成的Servlet代码可以看到，在<%! ... %>方式生成的变量定义是作为Servlet的默认成员变量，即没有public/private等等修饰的成员变量，作用范围是page。而在<% ... %>中定义的变量则是在Servlet的一个方法中作为局部变量定义的。正是因为这么一点区别就可以造成非常严重的错误。

page变量的作用范围是页面，不仅仅一个用户每次访问这个页面都可以相同的变量值。不同用户、甚至不在同一台电脑所上的人，访问这些变量的时候得到的变量值也都相同。所以如果没有太在意，(by gashero)使用了page变量来保存登录信息一类的数据，大家可就都爽了。任何人登录进来都可以做他想做的任何事情。

而使用<% ... %>方式定义的变量则不会有这个问题，即使同一用户在不同时间、不同窗口访问同一个页面，得到的结果也不同。

下面有一个例子，大家可以用Tomcat测试一下。就可以知道这个<%! ... %>所定义的page变量的能量了。程序中为了简化设计没有进行编码转换，具体可以参考我的一篇关于Tomcat编码的帖子。

<%@ page language="java" contentType="text/html; charset=GBK" pageEncoding="GBK" %>

<%!

String username="";

String password="";

%>

<%

username=request.getParameter("username");

password=request.getParameter("password"); // by gashero

if(username==null) {

username="";

}

if(password==null) {

password="";

}

%>

<html><body>

Username=<%=username %><br>

Password=<%=password %><br>

<br>

<form method="POST" action="test.jsp">

username:<input type="text" name="username"><br>

password:<input type="password" name="password"><br>

<input type="submit" value="提交">

</form>

</body></html>

这是一个再简单不过的提交表单，读者可以自己试着提交一次数据，然后另外开一个浏览器页面，再次查看相同的URL，会发现用户名和密码还好好的在那里显示着。可以试着换一个浏览器，看看，(by gashero)用户名和密码还在那里。再换一台电脑试试，用户名和密码还在。

这是很多JSP书籍所忽略的一个问题，相信很多JSP初学者也会在这里栽跟头，但愿本文对大家有用。