我偶然发现了一个paper的JSF安全性,其中包含以下语句:
在Suns RI JSF实施中, “com.sun.faces.disableVersionTracking” 配置参数是明确定义的。默认情况下,它设置为false 表示在Web服务器上运行的应用程序将抛出JSF版本 Web客户端查询时的响应标头
但是我不明白Web客户端应该如何查询它?有没有办法将额外的(标题)参数放到一个使JSF更健谈的请求中?我正在使用MyFaces作为JSF实现。
答案 0 :(得分:1)
这句话写得不好。客户端无法专门查询JSF应用程序版本信息。实际上,这会返回到客户端发送的每个单个HTTP请求。 JSF版本信息设置为X-Powered-By响应标头。
基本上,您应该将“查询”视为“发送HTTP请求”。