java - 関連するコンポーネントがレンダリングされていない場合、JSF Beanのセッターを呼び出すことができますか?

翻译自：https://stackoverflow.com/questions/11051724 2012-06-15T13:37:24.710

316 次

1

JSFのセキュリティについて質問があります。関連するコンポーネントが (curl などのツールを使用して) レンダリングされていない場合、攻撃者は JSF Bean のセッターを呼び出すことができますか? それとも、これが安全であると想定できるように、JSF によってチェックされていますか?

1 に答える 1

0

renderedパラメータ、ヘッダー、Cookie などの HTTP リクエストに付随するデータに条件が依存している場合にのみ攻撃可能です。つまり、HTTP リクエスト全体が完全にユーザー制御されます。

たとえば、ログインしているユーザーの役割のみを確認している場合は、エンドユーザーが目的の役割を持つユーザーの正しいユーザー名/パスワードを推測し、それを使用してログインしない限り、安全です。

于 2012-06-16T15:31:08.273 に答える