Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我有一个关于 JSF 安全性的问题。如果相关组件未呈现(例如使用 curl 之类的工具),攻击者是否有可能调用 JSF Bean 的 setter?或者这是否由 JSF 检查,以便我可以认为这是安全的?
只有当rendered条件依赖于 HTTP 请求附带的数据(如参数、标头、cookie 等)时,它才是可攻击的。整个 HTTP 请求完全由用户控制。
rendered
例如,如果您只检查登录用户的角色,那么它是安全的——当然,除非最终用户猜到具有所需角色的用户的正确用户名/密码并使用它登录。