私はJSFが初めてなので、いくつかのタグに関する私の知識はあまり良くありません。そして、この場合にパラメーターを渡すことがどれほど安全かを知りたいです:
<f:event listener="#{backBean.myMethod(**param**)}" type="preRenderView"/>
この「パラメーター」を渡すと、ユーザーはこの情報にアクセスできなくなります (この値を変更すると、セキュリティ上の欠陥が発生する可能性があり、これは起こり得ません)。だから私は、このイベントを使用してこのコードを壊すことができるかどうかを知るためにこれを求めています(別のパラメータを渡す)?
ありがとう!
エンドユーザーが値を制御できない場合は、param安全です。そのような単純な。直接的または間接的に (JSF または DB から!) 抽出したものはすべて、エンドユーザーの完全な管理HttpServletRequest下に置かれます。
したがって、たとえばハードコードすると、
<f:event listener="#{backBean.myMethod('foo')}" type="preRenderView"/>
その後、あなたは安全です。
しかし、ユーザー制御のリクエスト パラメータを渡すと、
<f:event listener="#{backBean.myMethod(param.foo)}" type="preRenderView"/>
サーバー側でその値を検証する場合にのみ安全です。