2011年1月11日Tomcat 7.0.6正式发布,很有纪念意义。
这是
Tomcat 7分支的第一个稳定版本,可以用在生产环境上面了,用以取代2007年2月发布的Tomcat 6。
来自infoQ新闻(
Apache Tomcat 7成为最新稳定版本)简要说明了Tomcat 7其主要
Apache决定不在Tomcat中添加对Java EE 6 Web Profile的完整支持,至少在眼下是这样的。因此Tomcat 7中只是简单地增加了Servlet 3.0(Java EE 6中引入的)的支持以及JavaServer Pages 2.2和EL 2.2的支持。新版本要求使用Java SE 6或更高版本。
可见此版本,完善的支持了Servlet 3.0 规范,以及可能被人忽略的JSP 2.2、EL 2.2,这已经够了,不要那么多,简单就好,否则就会变成另一个J2EE应用服务器。
在安全方面也有较为主要的改善:
Tomcat 7中的改进也不是全都针对Servlet 3.0 API的,其中还有不少重要的安全性改进。现在针对基于脚本的访问、基于Web的访问、JMX代理访问和状态页访问有了独立的角色,允许做更具体的访问控制。为了避免跨站请求伪造(CSRF)攻击,所有的非幂等性请求(即多次执行不会产生相同结果的操作)都要求生成一个随机数。Tomcat 7还针对会话固定攻击(session fixation attack)采取了一些防御措施。会话固定攻击就是将客户端的会话ID强制设置为一个明确的已知值。
总之,我们可以在在Tomcat 7.0.6中使用Servlet 3.0做实际意义上的开发了。