随着网络技术的高速发展,web已经从一个大部分显示静态信息的网络演化成了以动态网页为主的网络,编写安全的WWW应用并不是一件轻而易举的事情.各种动态内容生成环境繁荣了WWW,它们的设计目标就是为了给开发者更多的力量,给最终用户更多的方便.正因为如此,系统设计师和开发者必须明确地把安全问题作为一个考虑因素,事后追悔很难奏效.从安全的角度来看,服务器端WWW应用的弱点来源于各种各样的交互能力和传输通道.它们是攻击者直接可以用来影响系统的工具.在攻击者寻找和利用系统安全漏洞时,它们总是给系统安全带来压力.对付所有这些攻击的通用防卫策略就是所谓的输入验证.从同一层面考虑,主要有两种设计上的错误导致了安全方面的问题:·拙劣的访问控制,·对部署环境作隐含的假设.这里要讨论的是JSP环境下的安全管理问题,将讨论恶意的用户输入伪装自身以及改变应用预定行为的各种方法,考虑如何检验输入合法性以及减少对信息和应用接口的不受欢迎的探测.