标签: java security jsf java-ee
我有一个关于JSF安全性的问题。如果没有渲染关联的组件(例如使用像curl这样的工具),攻击者是否有可能调用JSF Bean的setter? 或者这是由JSF检查,以便我可以认为这是安全的吗?
答案 0 :(得分:0)
如果rendered条件依赖于HTTP请求附带的数据(如参数,标题,cookie等),它只能被攻击。整个HTTP请求完全由用户控制。
rendered
如果你只是检查登录用户的角色,那么它是安全的 - 当然,最终用户猜测具有所需角色的用户的正确用户名/密码,然后使用它登录。< / p>