私はJavaSeamでJBoss4.2を使用しており、私のアプリケーションにはログインフォームが実装されています。GUIでフォームを送信すると、パラメーターはHTTP-POSTを介して送信されますが、HTTP-GETを介してデータを送信しようとすると、それも受け入れられます。
それは防げるべきですが、どうすればいいのかわかりませんでした。pages.xmlでメソッドを設定できますか、それともリクエストが投稿か取得かをプログラムで確認する必要がありますか。
それを行う他の方法はありますか、それともどのようにすればよいですか?
ありがとう!
web.xml に次のステートメントを追加します。
<security-constraint>
<web-resource-collection>
<web-resource-name>Post Pages</web-resource-name>
<description />
<url-pattern>/*.xhtml</url-pattern>
<http-method>POST</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
これにより、定義された url.patterns で POST リクエストのみが許可されます