我一直致力于只在JSF Managed Beans上进行用户输入验证的系统。从理论上讲,在大学的工作台上,我们被告知总是在业务层上复制验证(或者在持久层上不可能复制:通过Bean Validation API或Hibernate Listeners)。
然而,经过一些研究后,我得出结论认为没有安全漏洞,因为JSF不允许直接访问任何“吼叫”它。但我真的想证明是错的。
答案 0 :(得分:1)
当您仅使用JSF时,它可能不是安全漏洞。总的来说,我认为最好让您的验证和授权尽可能靠近您的数据存储。例如,如果您决定向应用程序添加REST服务,则已经完成了验证和授权。
如果您使用javax.validation,则在使用PrimeFaces等组件库时,无需在JSF中复制验证。在PrimeFaces中,您只需根据javax.validation注释使用bean validation。