jsf url-mapping угроза безопасности

Question

jsf url-mapping угроза безопасности

Когда вы используете JSF, у вас будет сервлет контроллера javax.faces.webapp.FacesServlet, который будет сопоставлен со следующим :


   ...
    /somefacesurl/*

Помещение mypage.xhtml в /,у нас есть риск для безопасности, потому что к нему можно получить доступ двумя способами (начиная с контекста приложения): 1) /somefacesurl/mypage.xhtml 2) /mypages.xhtml

Первый обрабатывается jsf и является правильным. Второй не обрабатывается jsf и поэтому предоставляется клиенту, раскрывая теги jsf, и это угроза безопасности.

Я нашел только два решения
1) отображение всегда на корневой URL-адрес:


   ...
    *.xhtml

Хорошее решение, но разрешает сопоставление только по расширению файла.

2) Сопоставлять с любым URL-адресом и использовать ограничение безопасности, чтобы запретить доступ к этим файлам, как предлагается в: Как избежать доступа пользователей к странице .xhtml в JSF?

Оба решения представлены в спецификации JSF 2.0 как жизнеспособные альтернативы, НО нет ни слова о различных подходах к безопасности этих двух решений.

Поскольку безопасность НЕ принимается во внимание, мне интересно, является ли первый «безопасным» с точки зрения доступа к файлам xhtml или, возможно, существует взлом для получения исходных файлов .xhtml.

5

jsf netbeans security url-mapping

задан Community 23 May 2017 в 11:58

0 ответов

Другие вопросы по тегам:

jsf netbeans security url-mapping

jsf url-mapping угроза безопасности

0 ответов

Похожие вопросы: