Когда вы используете JSF, у вас будет сервлет контроллера javax.faces.webapp.FacesServlet, который будет сопоставлен со следующим :
...
/somefacesurl/*
Помещение mypage.xhtml в /,у нас есть риск для безопасности, потому что к нему можно получить доступ двумя способами (начиная с контекста приложения):
1) /somefacesurl/mypage.xhtml
2) /mypages.xhtml
Первый обрабатывается jsf и является правильным. Второй не обрабатывается jsf и поэтому предоставляется клиенту, раскрывая теги jsf, и это угроза безопасности.
Я нашел только два решения
1) отображение всегда на корневой URL-адрес:
...
*.xhtml
Хорошее решение, но разрешает сопоставление только по расширению файла.
2) Сопоставлять с любым URL-адресом и использовать ограничение безопасности, чтобы запретить доступ к этим файлам, как предлагается в: Как избежать доступа пользователей к странице .xhtml в JSF?
Оба решения представлены в спецификации JSF 2.0 как жизнеспособные альтернативы, НО нет ни слова о различных подходах к безопасности этих двух решений.
Поскольку безопасность НЕ принимается во внимание, мне интересно, является ли первый «безопасным» с точки зрения доступа к файлам xhtml или, возможно, существует взлом для получения исходных файлов .xhtml.