URL을 통해서 JSP 페이지에 직접 접근하는 것을 차단해야하는 경우가 있습니다.

특히 스트러츠처럼 프론트 콘틀롤러 패턴을 적용한 시스템에서는 서블릿 콘트롤러만이

JSP를 실행할 수 있어야하죠. 

그런데 JSP 페이지를 일반 HTML 페이지와 동일하게 취급하여 배치하게 되면,

영리한(?) 사용자가 JSP 경로를 알아내어 서블릿을 통하지 않고 실행할 수가 있습니다.

JSP 페이지를 매핑된 경로(*.do)를 통해 호출하는 것이 정상이지만, 여전히 JSP페이지는

URI접근에 노출되어 있기 때문에 사용자가 매핑경로를 통하지 않고 JSP 페이지를

실행하는 것을 막지는 못한다는 얘깁니다.

이를 해결할 여러 가지 방법이 있습니다.

(1) JSP를 WEB-INF 디렉토리 밑에 두는 방법
모든 JSP 페이지를 WEB-INF 디렉토리 아래에 두는 방법입니다. WEB-INF 디렉토리는 클라이언트에게는 접근이 금지되어 있으나, 컨테이너는 접근이 허용됩니다. 다시 말하면 사용자는 WEB-INF 아래의 JSP 페이지를 URI 로 접근하여 실행할 수 없으나 컨테이너는 실행 가능하다는 것입니다. 스트러츠의 경우는 아래처럼 JSP 페이지를 /WEB-INF 아래에 배치하여 매핑을 정의하면 됩니다.

<action  path="/saveSubscription" 

         type="example.SaveSubscriptionAction">

   <forward="/WEB-INF/jsp/subscription.jsp"/>

</action>

이 방법은 그러나 JSP 페이지와 HTML/이미지 파일이 분리되어 존재하므로 다소

혼란스럽고, 화면개발시 상대경로를 확인하기 위해 JSP 페이지의 매핑경로를 알아야하는

 불편이 있습니다.

※ WebLogic 6.1에서는 WEB-INF 밑의 JSP파일은 서블릿에서 포워딩하는 것이 불가능하더군요.(웹로직 6.1의 버그로 생각됩니다.)

(2) web.xml에서 JSP페이지에 보안설정을 하는 방법
web.xml에 *.jsp 패턴의 모든 URL에 대해서 누구도 실행을 할 수 없게 설정해줄 수

있습니다. 아래 처럼 세팅하면 됩니다.

<security-constraint>

  <display-name>JSP Protection</display-name>

  <web-resource-collection>

    <web-resource-name>SecureJSPPages</web-resource-name>

      <url-pattern>*.jsp</url-pattern>

  </web-resource-collection>

  <auth-constraint>

    <role-name>nobody</role-name>

  </auth-constraint>

</security-constraint>

<security-role>

<description>

Nobody should be in this role so JSP files are protected

from direct access.

</description>

<role-name>nobody</role-name>

</security-role>

어떤 의도를 가진 사용자가 JSP 페이지를 URL로 직접 접근하게 되면 서버는

HTTP 응답코드 401번(Unauthorized) 페이지를 보여줍니다.

좀더 우아하게 처리하려면 401번 응답 페이지를 예쁘게 만들어서 등록하면 되겠죠.

<!-- 접근 권한없음 : UNAUTHORIZED-->

<error-page>

  <error-code>401</error-code>

  <location>/error/unauthorized.html</location>

</error-page>