1

我有一个关于 JSF 安全性的问题。如果相关组件未呈现(例如使用 curl 之类的工具),攻击者是否有可能调用 JSF Bean 的 setter?或者这是否由 JSF 检查,以便我可以认为这是安全的?

4

1 回答 1

0

只有当rendered条件依赖于 HTTP 请求附带的数据(如参数、标头、cookie 等)时,它才是可攻击的。整个 HTTP 请求完全由用户控制。

例如,如果您只检查登录用户的角色,那么它是安全的——当然,除非最终用户猜到具有所需角色的用户的正确用户名/密码并使用它登录。

于 2012-06-16T15:31:08.273 回答