2011年1月11日Tomcat 7.0.6正式發(fā)布,很有紀(jì)念意義。
這是
Tomcat 7分支的第一個(gè)穩(wěn)定版本,可以用在生產(chǎn)環(huán)境上面了,用以取代2007年2月發(fā)布的Tomcat 6。
來(lái)自infoQ新聞(
Apache Tomcat 7成為最新穩(wěn)定版本)簡(jiǎn)要說(shuō)明了Tomcat 7其主要
Apache決定不在Tomcat中添加對(duì)Java EE 6 Web Profile的完整支持,至少在眼下是這樣的。因此Tomcat 7中只是簡(jiǎn)單地增加了Servlet 3.0(Java EE 6中引入的)的支持以及JavaServer Pages 2.2和EL 2.2的支持。新版本要求使用Java SE 6或更高版本。
可見(jiàn)此版本,完善的支持了Servlet 3.0 規(guī)范,以及可能被人忽略的JSP 2.2、EL 2.2,這已經(jīng)夠了,不要那么多,簡(jiǎn)單就好,否則就會(huì)變成另一個(gè)J2EE應(yīng)用服務(wù)器。
在安全方面也有較為主要的改善:
Tomcat 7中的改進(jìn)也不是全都針對(duì)Servlet 3.0 API的,其中還有不少重要的安全性改進(jìn)。現(xiàn)在針對(duì)基于腳本的訪問(wèn)、基于Web的訪問(wèn)、JMX代理訪問(wèn)和狀態(tài)頁(yè)訪問(wèn)有了獨(dú)立的角色,允許做更具體的訪問(wèn)控制。為了避免跨站請(qǐng)求偽造(CSRF)攻擊,所有的非冪等性請(qǐng)求(即多次執(zhí)行不會(huì)產(chǎn)生相同結(jié)果的操作)都要求生成一個(gè)隨機(jī)數(shù)。Tomcat 7還針對(duì)會(huì)話固定攻擊(session fixation attack)采取了一些防御措施。會(huì)話固定攻擊就是將客戶端的會(huì)話ID強(qiáng)制設(shè)置為一個(gè)明確的已知值。
總之,我們可以在在Tomcat 7.0.6中使用Servlet 3.0做實(shí)際意義上的開(kāi)發(fā)了。