У меня вопрос о безопасности JSF. Возможно ли, чтобы злоумышленник вызывал установщика JSF Bean, если связанный компонент не отображается (например, с помощью инструмента, такого как завиток)? Или это проверено JSF, чтобы я мог считать это безопасным?Вызывающий сеттер JSF Bean возможен, если связанный компонент не отображается?
Это только атакуемое, если условие rendered зависит от данных, которые поступают вместе с HTTP-запросом, такими как параметры, заголовки, куки-файлы и т. Д. Весь HTTP-запрос полностью контролируется пользователем.
Если вы, например, проверяете роль только что зарегистрированного пользователя, то это безопасно, если конечный пользователь не угадает правильное имя пользователя/пароль пользователя с требуемой ролью и, конечно, входит в систему с ним.