1

我刚刚偶然发现一篇关于 JSF 安全性的论文,其中包含以下声明:

在 Suns RI JSF 实现中,明确定义了“com.sun.faces.disableVersionTracking”配置参数。默认情况下,它设置为 false,这意味着在 Web 服务器上运行的应用程序将在 Web 客户端查询时将 JSF 版本扔到响应标头中

但我不明白网络客户端应该如何查询它?有没有办法将额外的(标头)参数添加到使 JSF 更加健谈的请求中?我使用 MyFaces 作为 JSF 实现。

4

1 回答 1

1

这句话写得不好。客户端无法专门查询 JSF 应用程序版本信息。实际上,这会返回给客户端发送的每个HTTP 请求。JSF 版本信息被设置为X-Powered-By响应头。

基本上,您应该将“查询”理解为“发送 HTTP 请求”。

于 2013-05-23T17:03:49.583 回答