那些遇到过的问题

JSF f:传递参数的事件安全吗?

sam*_*ert 2 events jsf

我是JSF的新手,所以我对某些标签的了解并不是那么好.我想知道在这种情况下传递参数有多安全:

<f:event listener="#{backBean.myMethod(**param**)}" type="preRenderView"/>
Run Code Online (Sandbox Code Playgroud)

因为,当我要传递这个"参数"时,用户无法访问此信息(更改此值意味着安全漏洞,这不可能发生).所以我要问这个是否可以使用这个事件来破解这个代码(传递另一个参数)?

谢谢!

Bal*_*usC 5

如果param最终用户无法控制该值,那么您就是安全的.就那么简单.您直接或间接(通过JSF或来自DB!)从最终用户完全控制HttpServletRequest下提取的任何内容.

所以如果你硬编码,

<f:event listener="#{backBean.myMethod('foo')}" type="preRenderView"/>
Run Code Online (Sandbox Code Playgroud)

那你就安全了

但是,如果您传递用户控制的请求参数,

<f:event listener="#{backBean.myMethod(param.foo)}" type="preRenderView"/>
Run Code Online (Sandbox Code Playgroud)

那么只有在服务器端验证其值时才是安全的.

归档时间:

查看次数:

1615 次

最近记录:

13 年,1 月 前
相关归档
<p:dialog>的渲染属性和可见属性之间的差异 17
@LazyCollection(LazyCollectionOption.FALSE)和@OneToMany(fetch = FetchType.EAGER)之间的区别 16
了解CDI中类型安全的必要性 9
jQuery元素存在事件 6
当iframe重新加载? 5
使用C#winforms自定义复制/粘贴行为,同时允许文本编辑复制/粘贴 5
如何在@Asynchronous方法中正确使用CDI? 4
在Flex中按下"ESC"时,防止全屏退出 3
在运行时从辅助bean添加JSF 2复合组件 3
通过jQuery添加JSF标签/组件 1
难疑归档
不同浏览器中URL的最大长度是多少? 4676
使用Git将特定文件重置或还原到特定版本? 4255
Python中追加与扩展列表方法的区别 3119
如何将Git托管项目中的所有本地更改还原到以前的状态? 1830
如何在Git中检索当前提交的哈希值? 1788
enctype ='multipart/form-data'是什么意思? 1290
jQuery从下拉列表中获取选定的选项 1067
Ukkonen的简明英语后缀树算法 1065
自我的目的是什么? 1061
获取插入行的标识的最佳方法是什么? 1056