java - 関連するコンポーネントがレンダリングされていない場合、JSF Beanのセッターを呼び出すことができますか?

Question

JSFのセキュリティについて質問があります。関連するコンポーネントが (curl などのツールを使用して) レンダリングされていない場合、攻撃者は JSF Bean のセッターを呼び出すことができますか? それとも、これが安全であると想定できるように、JSF によってチェックされていますか?

Answer 1

renderedパラメータ、ヘッダー、Cookie などの HTTP リクエストに付随するデータに条件が依存している場合にのみ攻撃可能です。つまり、HTTP リクエスト全体が完全にユーザー制御されます。

たとえば、ログインしているユーザーの役割のみを確認している場合は、エンドユーザーが目的の役割を持つユーザーの正しいユーザー名/パスワードを推測し、それを使用してログインしない限り、安全です。