最小权限原则
使用专门的用户(如www-data或tomcat)运行JSP应用,避免以root用户启动服务;配置文件权限(通过chmod、chown命令),确保JSP文件、配置文件、日志文件等仅能被授权用户访问。
输入验证与过滤
对所有用户输入(如表单、URL参数)进行严格验证(如格式检查、长度限制),过滤特殊字符(如<、>、'、"),防止SQL注入、跨站脚本(XSS)等攻击;优先使用JSP标准标签库(JSTL)、表达式语言(EL)替代原生Java代码处理输入,输出时通过<c:out>标签或EL的${fn:escapeXml()}函数进行编码。
使用HTTPS加密通信
获取并安装有效的SSL/TLS证书(如Let’s Encrypt免费证书),配置Web服务器(如Tomcat)启用HTTPS,强制客户端通过https://访问;在server.xml中配置<Connector>节点的SSLEnabled="true"、keystoreFile(证书路径)、keystorePass(证书密码)等参数。
安全会话管理
配置随机生成的会话ID(Tomcat默认支持),设置合理的会话超时时间(如<session-config><session-timeout>30</session-timeout></session-config>);启用cookie的HttpOnly(防止XSS窃取cookie)和Secure(仅通过HTTPS传输)属性,在context.xml中添加<CookieProcessor httpOnly="true" secure="true"/>或在web.xml中配置<cookie-config><http-only>true</http-only><secure>true</secure></cookie-config>。
错误处理与日志审计
配置自定义错误页面(如404.jsp、500.jsp),避免向用户暴露服务器堆栈跟踪、路径等敏感信息;记录详细的错误日志(通过logging.properties调整日志级别),定期审查/var/log/tomcat/或应用日志,使用auditd等工具监控可疑活动(如频繁的登录失败)。
禁用不必要的功能与服务
删除Tomcat默认目录(如webapps/ROOT、webapps/docs、webapps/examples),防止恶意应用自动部署;禁用目录列表(在web.xml中配置<directory-listing>["否", "disable directory listing", "Tomcat disable directory listing configuration"]</directory-listing>);关闭AJP连接器(若未使用Apache反向代理),注销server.xml中的<Connector port="8009" protocol="AJP/1.3"/>。
安全配置Web服务器(Tomcat为例)
隐藏Tomcat版本信息(在server.xml的<Connector>节点添加server="Apache");关闭自动部署(设置autoDeploy="false"、unpackWARs="false");配置防火墙(ufw或iptables)仅开放必要端口(如80/443、8080,若Tomcat直接对外提供服务);限制root账户使用,创建专用用户(如tomcat)并赋予最小权限。
定期更新与补丁管理
保持Ubuntu系统、JDK、Tomcat及依赖库(如数据库驱动)为最新版本,定期检查官方安全公告(如Oracle JDK安全补丁、Tomcat CVE漏洞),及时应用更新;监控安全漏洞数据库(如CVE Details),提前应对潜在威胁。
安全编码与访问控制
遵循OWASP Top 10等安全编码标准,避免使用默认管理员账户(如admin),强制用户设置强密码(如包含大小写字母、数字、特殊字符,长度≥8位);使用基于角色的访问控制(RBAC),在数据库中设计角色(如admin、user)与权限表,代码中通过@RolesAllowed注解或web.xml的<security-constraint>限制用户对敏感资源(如/admin/*)的访问;加密敏感数据(如用户密码),使用强哈希算法(如SHA-256、SHA-512)加盐存储。