jsp Poupd出框

其实代码非常简单：
<SCRIPT LANGUAGE=javascript>
<!--
windowopen ('pagehtml')
-->
</SCRIPT>
因为这是一段javascript代码，所以它们应该放在<SCRIPT LANGUAGE=javascript>标签和</script>之间。<!-- 和 -->是对一些版本低的浏览器起作用，在这些老浏览器中不会将标签中的代码作为文本显示出来。要养成这个好习惯啊。
windowopen ('pagehtml') 用于控制d出新的窗口pagehtml，如果pagehtml不与主窗口在同一路径下，前面应写明路径，绝对路径(>

渗透测试需要的基础技能必须有网络基础、编程基础、数据库基础、 *** 作系统等基本技能。学习的话可以从html、css、js、编程语言、协议包分析、网络互联原理、数据库语法等进入，学习了这些基础技能之后，就可以进行渗透测试的深入学习了，如web方面的学习OWASP TOP 10漏洞挖掘、主机系统服务漏洞检测、App漏洞检测、内网渗透等方面，最后当然是能够编写渗透测试报告啦。

利用数据库的备份功能把JPG格式的文件备份成ASP或PHP等格式的文件让后通过备份路径直接访问你的木马就可以了。这就是后台拿webshell。这是一种常见的方法，还有很都其它的方法要根据网站的实际情况来决定入侵的思路。看看下面的教程吧： >（目前学习java，正好碰到解决了，在此分享，言语粗糙非官方，接受专业评论随时编辑更新）
首先说下原理，点击后会出现两种情况。第一种默认情况是继续跳转访问。
第二种就是下载，这一步是由response的Content‐Disposition: attachment这个头信息控制的。
那么问题就变成了：你在“自认为”没有做像第二种情况的设置，只是简单的链接跳转，结果却是下载
导致这种结果的原因：你在访问了指向下载功能的页面后，“紧接着”对静态页面进行了修改，这个时候不管添加的<a><button>或别的什么东西指向任何页面都会是下载而不是访问。一句话：用旧页面的访问逻辑来处理了新页面。
解决：1、刷新项目资源（不是在浏览器刷新那个承载按钮的页面）
2、重启Tomcat(或其他)服务。
这里也额外提一下，在集成环境的默认情况下，servlet不像java原程序一样自动及时编译，所以需要按照不同改变进行对应的手动刷新，一定要记得刷新重启啊！！！

JSP(JavaServer Pages)是由Sun Microsystems公司倡导、许多公司参与一起建立的一种动态网页技术标准。JSP技术有点类似ASP技术，它是在传统的网页HTML文件(htm,html)中插入Java程序段(Scriptlet)和JSP标记(tag)，从而形成JSP文件(jsp)。
用JSP开发的Web应用是跨平台的，即能在Linux下运行，也能在其他 *** 作系统上运行。
JSP技术使用Java编程语言编写类XML的tags和scriptlets，来封装产生动态网页的处理逻辑。网页还能通过tags和scriptlets访问存在于服务端的资源的应用逻辑。JSP将网页逻辑与网页设计和显示分离，支持可重用的基于组件的设计，使基于Web的应用程序的开发变得迅速和容易。
Web服务器在遇到访问JSP网页的请求时，首先执行其中的程序段，然后将执行结果连同JSP文件中的HTML代码一起返回给客户。插入的Java程序段可以 *** 作数据库、重新定向网页等，以实现建立动态网页所需要的功能。
JSP与Java Servlet一样，是在服务器端执行的，通常返回该客户端的就是一个HTML文本，因此客户端只要有浏览器就能浏览。
JSP的10规范的最后版本是1999年9月推出的，12月又推出了11规范。目前较新的是JSP12规范，JSP20规范的征求意见稿也已出台。
JSP页面由HTML代码和嵌入其中的Java代码所组成。服务器在页面被客户端请求以后对这些Java代码进行处理，然后将生成的HTML页面返回给客户端的浏览器。Java Servlet 是JSP的技术基础，而且大型的Web应用程序的开发需要Java Servlet和JSP配合才能完成。JSP具备了Java技术的简单易用，完全的面向对象，具有平台无关性且安全可靠，主要面向因特网的所有特点。
1． JSP技术的强势
（1）一次编写，到处运行。在这一点上Java比PHP更出色，除了系统之外，代码不用做任何更改。
（2）系统的多平台支持。基本上可以在所有平台上的任意环境中开发，在任意环境中进行系统部署，在任意环境中扩展。相比ASP/PHP的局限性是显而易见的。
（3）强大的可伸缩性。从只有一个小的Jar文件就可以运行Servlet/JSP，到由多台服务器进行集群和负载均衡，到多台Application进行事务处理，消息处理，一台服务器到无数台服务器，Java显示了一个巨大的生命力。
（4）多样化和功能强大的开发工具支持。这一点与ASP很像，Java已经有了许多非常优秀的开发工具，而且许多可以免费得到，并且其中许多已经可以顺利的运行于多种平台之下。
2． JSP技术的弱势
（1） 与ASP一样，Java的一些优势正是它致命的问题所在。正是由于为了跨平台的功能，为了极度的伸缩能力，所以极大的增加了产品的复杂性。
（2） Java的运行速度是用class常驻内存来完成的，所以它在一些情况下所使用的内存比起用户数量来说确实是“最低性能价格比”了。从另一方面，它还需要硬盘空间来储存一系列的java文件和class文件，以及对应的版本文件。
JSP九种内置对象：
request, response, out, session, application, config, pagecontext, page, exception
一request对象：该对象封装了用户提交的信息，通过调用该对象相应的方法可以获取封装的信息，即使用该对象可以获取用户提交信息。
二response对象：对客户的请求做出动态的响应，向客户端发送数据。
三．session对象
1什么是session：session对象是一个JSP内置对象，它在第一个JSP页面被装载时自动创建，完成会话期管理。
从一个客户打开浏览器并连接到服务器开始，到客户关闭浏览器离开这个服务器结束，被称为一个会话。当一个客户访问一个服务器时，可能会在这个服务器的几个页面之间反复连接，反复刷新一个页面，服务器应当通过某种办法知道这是同一个客户，这就需要session对象。
2．session对象的ID：当一个客户首次访问服务器上的一个JSP页面时，JSP引擎产生一个session对象，同时分配一个String类型的ID号，JSP引擎同时将这个ID号发送到客户端，存放在Cookie中，这样session对象和客户之间就建立了一一对应的关系。当客户再访问连接该服务器的其他页面时，不再分配给客户新的session对象，直到客户关闭浏览器后，服务器端该客户的session对象才取消，并且和客户的会话对应关系消失。当客户重新打开浏览器再连接到该服务器时，服务器为该客户再创建一个新的session对象。
四．aplication对象
1．什么是application:
服务器启动后就产生了这个application对象，当客户再所访问的网站的各个页面之间浏览时，这个application对象都是同一个，直到服务器关闭。但是与session不同的是，所有客户的application对象都是同一个，即所有客户共享这个内置的application对象。
2．application对象常用方法:
(1)public void setAttribute(String key,Object obj): 将参数Object指定的对象obj添加到application对象中，并为添加的对象指定一个索引关键字。
(2)public Object getAttribute(String key): 获取application对象中含有关键字的对象。
五．out对象
out对象是一个输出流，用来向客户端输出数据。out对象用于各种数据的输出。
六．Cookie
1什么是Cookie：
Cookie是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保存信息并且随后再取回它。
举例来说，一个Web站点可能会为每一个访问者产生一个唯一的ID，然后以Cookie文件的形式保存在每个用户的机器上。
如果您使用IE浏览器访问Web，您会看到所有保存在您的硬盘上的Cookie。它们最常存放的地方是：c:\windows\cookies(在Window2000中则是C:\Documents and Settings\您的用户名\Cookies )
Cookie是以“关键字key=值value“的格式来保存纪录的
2．创建一个Cookie对象，调用Cookie对象的构造函数可以创建Cookie。Cookie对象的构造函数有两个字符串参数：Cookie名字和Cookie值。
Cookie c=new Cookie(“username”,”john”);
3． JSP中如果要将封装好的Cookie对象传送到客户端，使用response的addCookie()方法。
格式：responseaddCookie(c)
4．读取保存到客户端的Cookie,使用request对象的getCookies()方法，执行时将所有客户端传来的Cookie对象以数组的形式排列，如果要取出符合需要的Cookie对象，就需要循环比较数组内每个对象的关键字。
一句话，JSP就是Java在 网页设计方面 一个 很广泛的应用
要是要做毕业论文，最好买一本书 学学里面的程序

你关闭浏览器，应该可以使 session失效。指关闭本页面，如果还有其它页面，那么 session还是没有失效。只有当超时时间到了，才失效。缺省是30分钟。你可以更改，再webxml中设置
<session-config>
<session-timeout>5</session-timeout> //分
</session-config>
或者，创建session是直接设置
sessionsetMaxInactiveInterval(300)；//秒
如果你只是要在页面关闭时作一些 *** 作，直接用JavaScript的事件onunload就可以了。
如果你是在捕获session失效事件，那就比较复杂了。标准的做法是用session的监听类。
>