默认情况下,JSF/Facelets已经转义输出UIOutput和UIInput组件.因此,只要您通过<h:outputText>和重新显示用户控制的输入<h:inputWhatever>,那么XSS部分是安全的.
JSF还通过隐藏输入字段构建了针对CSRF的预防措施javax.faces.ViewState.在JSF 2.1之前,这只是"太容易"猜测,另见JSF impl issue 812和JSF spec issue 869.这最近(2010年10月3日)已针对JSF 2.1进行了修复.
请注意,防止SQL注入攻击不是Web MVC框架的责任.您需要在数据层中解决该部分.如果以正确的方式使用JPA(即不在SQL字符串中连接用户控制的输入,但使用参数化查询),那么该部分也是安全的.
| 归档时间: |
|
| 查看次数: |
2823 次 |
| 最近记录: |