У меня вопрос о безопасности JSF. Возможно ли, чтобы злоумышленник вызывал установщика JSF Bean, если связанный компонент не отображается (например, с помощью инструмента, такого как завиток)? Или это проверено JSF, чтобы я мог считать это безопасным?Вызывающий сеттер JSF Bean возможен, если связанный компонент не отображается?
1
A
ответ
0
Это только атакуемое, если условие rendered
зависит от данных, которые поступают вместе с HTTP-запросом, такими как параметры, заголовки, куки-файлы и т. Д. Весь HTTP-запрос полностью контролируется пользователем.
Если вы, например, проверяете роль только что зарегистрированного пользователя, то это безопасно, если конечный пользователь не угадает правильное имя пользователя/пароль пользователя с требуемой ролью и, конечно, входит в систему с ним.
Смежные вопросы
- 1. XPages - SSJS, вызывающий bean-компонент
- 2. Hibernate, вызывающий неправильный сеттер
- 3. Внесите EJB в управляемый bean-компонент JSF
- 4. Как использовать bean-компонент в приложении JSF?
- 5. Связанный сеттер не вызывается, если значение свойства не изменилось?
- 6. JSF управляемый bean question
- 7. Невозможно вставить bean-компонент в управляемый bean-компонент JSF с определенным именем весной
- 8. Sessioncoped управляемый bean-компонент, не сохраняющий переменные jsf
- 9. Сеттер не вызывается при передаче переменных из Javascript в Bean
- 10. Неправильный сеттер, вызванный jsf
- 11. JSF 2.0: Почему компонент JSF создается, когда он используется в компоненте, который не отображается?
- 12. javascript - ajax - jsf - bean-взаимодействие
- 13. Как связать компонент JSF с базовым компонентом bean свойства
- 14. JSF Managed Bean автоматически создает?
- 15. Связанный с JSF управляемый компонент http-session вызывает in-instantiation
- 16. Управление сеансом Bean JSF
- 17. CODI + WELD: Специализированный bean-компонент должен расширять другой bean-компонент
- 18. PropertyNotWritableException в JSF 1.2 - сеттер возвращаемое значение
- 19. Поверхностный составной компонент не отображается
- 20. JSF Request Scope Bean создаст новый компонент для каждого запроса
- 21. Просмотреть скопированный bean-компонент не будет уничтожен
- 22. Managed Bean JSF project
- 23. компонент отображается, если boolCheckBox отмечен
- 24. JSF/Bean # {} не обрабатывается/анализируется
- 25. компонент Spring3 + JSF Композитных
- 26. JSF bean access failing
- 27. Атрибут JSF для свойства bean
- 28. JSF 1.2 управляемый bean-компонент, как получить значение getter
- 29. Как уничтожить управляемый bean-компонент с viewcoped в jsf
- 30. JSF Spring Bean set свойство