如果关联组件未呈现,是否可以调用 JSF Bean 的 Setter?

【问题标题】:Calling Setter of JSF Bean possible if associated component not rendered?如果关联组件未呈现,是否可以调用 JSF Bean 的 Setter?
【发布时间】:2012-06-18 14:03:20
【问题描述】:

我有一个关于 JSF 安全性的问题。如果相关组件未呈现(例如使用 curl 之类的工具),攻击者是否有可能调用 JSF Bean 的 setter? 或者这是否由 JSF 检查,以便我可以认为这是安全的?

【问题讨论】:

    标签: java security jsf jakarta-ee


    【解决方案1】:

    只有当rendered 条件依赖于 HTTP 请求附带的参数、标头、cookie 等数据时,它才是可攻击的。整个 HTTP 请求完全由用户控制。

    例如,如果您只检查登录用户的角色,那么它是安全的 - 除非最终用户猜到具有所需角色的用户的正确用户名/密码并使用它登录,当然。

    【讨论】:

      猜你喜欢
      • 2012-05-14
      • 2011-11-21
      • 1970-01-01
      • 2015-11-05
      • 1970-01-01
      • 1970-01-01
      • 2011-09-10
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode