は、私は現在、（Javaの/ POIで作成）に敏感なユーザーが生成したExcelファイルは、ファイル名を作成することにより、サーバからダウンロードできるように、私は <p>Tomcat8/Javaの</p>を使用するユーザーが生成したファイルをサーバー

Question

からダウンロードすることが確実にできるようGUIDを使用して公開されているディレクトリに保存し、このファイルへのリンクを提供します。

ステージ1

ユーザーがJSPは、Javaファイルに送信する様々なパラメータを、選択

String fileName = "excelFiles/" 
       + myReports 
         .createExcel(listCompanyDetails); 

public static String createExcel(List listCompanyDetails) { 
     String fileName = "MyFile"+UUID.randomUUID() + ".xls"; 
     String fileFullPath="\..."+fileName; 
     FileInputStream inputStream = new FileInputStream(new File(APPCodeTable.templateExcelFile)); 
     Workbook wb=new HSSFWorkbook(inputStream); 
     FileOutputStream out = new FileOutputStream(fileFullPath); 
     wb.write(out); 
     out.close(); 
} 

ステージJSP次いでiframe内のファイルを表示する2

<iframe id="target_upload" name="target_upload" width="100%" 
src="<%=fileName%>" height="100%"></iframe> 

私たちのシステムで行われた侵入テストの結果では、代わりにjspファイルからストリームでファイルを生成する必要があります。これはGUIDの使用を避けるため、より安全です。ログイン許可をバイパスするファイルへのリンク。

ただし、サーブレットを使用する方がコード作成の方が優れているようです。例えば、Implementing a simple file download servlet。

ドキュメントをサーバーに保存し、GUIDで識別し、このGUIDをサーブレットに渡すことを検討していました。しかし、これは私の本来のセキュリティ向上意向を打ち破っているようです。

単純なダウンロードサーブレット（添付リンクのように）を実装すると、作成したファイルをそのサーブレットの中にどのようにして入れることができますか？

Answer 1

ステージ1のファイルに書き込んでステージ2でそのファイルを読み込む代わりに、ワークブックをHttpServletResponse.getOutputStream（）に書き込むことで、2つのステップを効果的に1つに縮小できます。

1. は、（<form>で行われていると仮定して）ユーザーパラメータを収集し、IFRAMEをターゲットにしてPOSTします。例えば

<form action="reportservlet/MyReport.xls" method="POST" target="target_upload"> 

2. セットアップは、新しいサーブレット+マッピング（*マッピングはMyReport.xls部分がフォームを送信するときに、その場で構築何かをanything..includingすることができます）。サーブレットで

<servlet> 
    <servlet-name>ReportServlet</servlet-name> 
    <servlet-class>foo.ReportServlet</servlet-class> 
</servlet> 
<servlet-mapping> 
    <servlet-name>ReportServlet</servlet-name> 
    <url-pattern>/reportservlet/*</url-pattern> 
</servlet-mapping> 

3. 、のようなものが

public void doPost(HttpServletRequest req, HttpServletResponse rsp) throws ServletException { 
    // all the security stuff and stuff to produce List listCompanyDetails 
    FileInputStream inputStream = new FileInputStream(new File(APPCodeTable.templateExcelFile)); 
    Workbook wb=new HSSFWorkbook(inputStream); 
    rsp.setContentType("application/vnd.ms-excel"); 
    wb.write(rsp.getOutputStream()); // this is the key...write directly to the request output vs. a temp file 
} 

いくつかの論評...

（servlet..thisのビジネスロジックの "悪いデザイン" を無視することは唯一の実証です）
1. 私は、a）IEを使用し、b）Excelがインストールされている - IFRAMEでのExcelコンテンツのターゲティングがかなり悪い考えである、よく制御されたユーザーのために開発していると仮定しています。
2. 推奨されるサーブレットの代わりにJSPを使用しないでください。バイナリデータを生成するためにJSPを使用することはちょうど「悪い考えです」。技術的には可能ですが、JSPを正しく構成しないと、XLSを破損するような文字データ（ほとんど見えにくい改行や後続のスペース）が発生する可能性があります。

Answer 2

@Implementing a simple file download servlet

からウェンの答えはまた私がHow to deny web access to a Tomcat directoryに@Ramesh PVKの提案を使用してファイルが保存されたディレクトリへの直接ウェブアクセスを削除

<security-constraint> 
    <web-resource-collection> 
    <web-resource-name >precluded methods</web-resource-name> 
    <url-pattern >/excelFiles/*</url-pattern> 
    </web-resource-collection> 
    <auth-constraint/> 
</security-constraint>