来自http://www.kb.cert.org/vuls/id/526012:
通过资源标识符(CWE-22)进行部分目录遍历:存在一个允许在目录内遍历的缺陷 应用。目录遍历是有限的,因为它不能用于从应用程序中逃脱并且任意访问 应用程序服务器上的文件
如何在JSF 2.0中限制对以下路径的访问 控制台/ javax.faces.resource ... / WEB-INF / web.xml.jsf?
答案 0 :(得分:1)
根据issue 1166已经在2.0.0-b14(2009年6月)中已经修复了很长时间。
请确保您使用的是最新的JSF impl /版本,并确保您使用生产中的库的beta(!)版本 。 JSF 2.0于2009年12月与Java EE 6一起正式发布。
答案 1 :(得分:0)
如果任何请求带有此值javax.faces.resource,则在此检查条件中添加过滤器...然后返回安全错误。