2011年1月11日Tomcat 7.0.6正式發布,很有紀念意義。
這是
Tomcat 7分支的第一個穩定版本,可以用在生產環境上面了,用以取代2007年2月發布的Tomcat 6。
來自infoQ新聞(
Apache Tomcat 7成為最新穩定版本)簡要說明了Tomcat 7其主要
Apache決定不在Tomcat中添加對Java EE 6 Web Profile的完整支持,至少在眼下是這樣的。因此Tomcat 7中只是簡單地增加了Servlet 3.0(Java EE 6中引入的)的支持以及JavaServer Pages 2.2和EL 2.2的支持。新版本要求使用Java SE 6或更高版本。
可見此版本,完善的支持了Servlet 3.0 規范,以及可能被人忽略的JSP 2.2、EL 2.2,這已經夠了,不要那么多,簡單就好,否則就會變成另一個J2EE應用服務器。
在安全方面也有較為主要的改善:
Tomcat 7中的改進也不是全都針對Servlet 3.0 API的,其中還有不少重要的安全性改進。現在針對基于腳本的訪問、基于Web的訪問、JMX代理訪問和狀態頁訪問有了獨立的角色,允許做更具體的訪問控制。為了避免跨站請求偽造(CSRF)攻擊,所有的非冪等性請求(即多次執行不會產生相同結果的操作)都要求生成一個隨機數。Tomcat 7還針對會話固定攻擊(session fixation attack)采取了一些防御措施。會話固定攻擊就是將客戶端的會話ID強制設置為一個明確的已知值。
總之,我們可以在在Tomcat 7.0.6中使用Servlet 3.0做實際意義上的開發了。