DOMANDA: In una JSP (Java Server Page) posso risalire all'indirizzo della pagina di provenienza? RISPOSTA: Come in molti altri linguaggi, questa operazione è possibile anche con le Java Server Pages e ovviamente con le Servlet . L'url di provenienza prende il nome di Referer  e, grazie ai metodi già forniti dalla classe HttpServletRequest ,   possiamo riuscire nel nostro intento con questa riga di codice: String provenienza = request.getHeader( "Referer" ); Ecco un breve esempio di Servlet (Referer) : package referer; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.ServletOutputStream; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @WebServlet( "/Referer" ) public class Referer extends HttpServlet {    private static final long serialVersionUID = 1L;    publ

DOMANDA: Perché non basta fare i controlli di sicurezza in una pagina JSP che rimanda ad una Servlet? RISPOSTA: La servlet è esposta (tramite configurazione del file web.xml ) allo stesso modo di una JSP, quindi è pubblica. Chiunque la può richiamare via GET , POST o per qualunque metodo previsto dalla servlet stessa e quindi si potrebbe avere una risposta bypassando la JSP e quindi i controlli in essa contenuti. Quindi è corretto (e fondamentale) mettere in sicurezza anche l’accesso alla servlet. La regola che vige per il web è che qualunque input o output che  proviene o può provenire da un utente (quindi da una fonte non sicura) deve essere controllata/filtrata.