jsp能像php asp什么的include后门文件吗?
不可以吧,jsp只能include jsp文件吧?要不怎么没看见有人说过jsp include后门呢?
真的可以吗?为什么可以?如果<%@ include可以那么<jsp:include可不可以呢?
index.jsp包含1.jpg:
1.jpg内容是我们的菜刀一句话:
Server编译后index.jsp后:
通过请求菜刀接口,可知程序正常http://xxx.com/Demo2/include/?z0=utf-8&023=B&z1=d:\:
jsp会把包含进来的文件编译成一个servlet而<jsp:include不会,一个是在编译阶段,一个是在请求阶段执行包含。
<%@ include file="1.jpg" %>
file路径可以是d:/1.jpg之类的吗?
可以,但是如果不在Web目录可能会在编译时出现500错误(找不到被包含的文件),多刷新一次就行了。这个问题可能是反复的。
怎么去隐藏<%@ include呢?
这个很简单,因为<%@ include在开发当中用的非常多,所以很少有人会去怀疑包含进来的文件是不是安全的。
小知识,给大家见笑了。知道的同学呵呵下就行了。