- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个支持 bean (somebean
),它具有三个 boolean 属性 a
、b
和 c
,每个都有一个 getter 和 setter。
我有一个看起来像这样的表格:
<h:outputText rendered="#{somebean.b}">
B is true
</h:outputText>
<h:form id="blah">
<h:inputHidden value="#{somebean.a}" id="a"/>
<h:commandLink id="zzzz" value="do it" action="#{somebean.doIt}"/>
</h:form>
客户端可以设置a
、b
、c
这三个属性中的哪一个?我尝试将 b=true
和 c=true
添加到 POST 请求,但是 SomeBean.setB(boolean)
和 SomeBean.setC (boolean)
永远不会被调用。所以也许只能设置 a
- 逻辑是如果 JSF 中有一个字段设置它,则允许客户端设置它。但也许我错了,它只是有一些我不知道的默认名称可以用来设置它...
我是否应该假设我的 bean 上的任何属性都可以由客户端设置?如果不能,我应该假设客户可以设置哪些(因此在验证期间必须担心)?
另外,如果我有条件地呈现我的表单会怎样?例如:
<h:outputText rendered="#{somebean.b}">
<h:form id="blah">
<h:inputHidden value="#{somebean.a}" id="a"/>
<h:commandLink id="zzzz" value="do it" action="#{somebean.doIt}"/>
</h:form>
</h:outputText>
在这种情况下,如果b
为false,a
还能被设置吗?
“客户端”是指任何向我的站点发送 HTTP 流量的东西。例如,这可能是恶意代码。
最佳答案
Which properties in a JSF backing bean can be set by a user?
绑定(bind)到 EditableValueHolder
的那些组件,例如 UIInput
和 friend (包括 <f:viewParam>
!),前提是他们是 rendered="true"
, disabled="false"
和 readonly="false"
在应用请求值阶段。
另一种可能的方法是通过 @ManagedProperty("#{param.xxx}")
在请求作用域 bean 或硬编码的属性上 ExternalContext#getRequestParameterMap()
访问在 HTTP 请求期间调用的一些 bean 方法。
因此,仅当您作为开发人员明确将属性绑定(bind)到呈现的、非禁用/只读的可编辑值持有者组件时,或者当您作为开发人员明确设置请求时参数作为属性。在当前版本的 JSF 实现中,绝对没有关于通过 HTTP 方式设置未声明/未绑定(bind)属性的可能性的安全漏洞。甚至不可能将任意值发送到 UISelectOne
或 UISelectMany
通过欺骗 HTTP 请求的组件,它只会以 "Validation Error: Value is not valid" 结束.
至于旧版 JSF 实现中的安全漏洞,只有当您使用 includeViewParams="true"
导航到不同的 View 时才会出现这种情况。在早于 2.0.7 和 2.1.5 的 Mojarra 版本中, View 参数中的所有 EL 表达式如 #{bean.setArbitraryProperty('foo')}
将被评估。另见 issue 2247 .我不知道 MyFaces 中有任何安全漏洞;这并不是因为本身没有,而只是因为我没有密切使用/跟踪它。
关于java - JSF 支持 bean 中的哪些属性可以由用户设置?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17685804/
你能比较一下属性吗 我想禁用文本框“txtName”。有两种方式 使用javascript,txtName.disabled = true 使用 ASP.NET, 哪种方法更好,为什么? 最佳答案 我
Count 属性 返回一个集合或 Dictionary 对象包含的项目数。只读。 object.Count object 可以是“应用于”列表中列出的任何集合或对
CompareMode 属性 设置并返回在 Dictionary 对象中比较字符串关键字的比较模式。 object.CompareMode[ = compare] 参数
Column 属性 只读属性,返回 TextStream 文件中当前字符位置的列号。 object.Column object 通常是 TextStream 对象的名称。
AvailableSpace 属性 返回指定的驱动器或网络共享对于用户的可用空间大小。 object.AvailableSpace object 应为 Drive 
Attributes 属性 设置或返回文件或文件夹的属性。可读写或只读(与属性有关)。 object.Attributes [= newattributes] 参数 object
AtEndOfStream 属性 如果文件指针位于 TextStream 文件末,则返回 True;否则如果不为只读则返回 False。 object.A
AtEndOfLine 属性 TextStream 文件中,如果文件指针指向行末标记,就返回 True;否则如果不是只读则返回 False。 object.AtEn
RootFolder 属性 返回一个 Folder 对象,表示指定驱动器的根文件夹。只读。 object.RootFolder object 应为 Dr
Path 属性 返回指定文件、文件夹或驱动器的路径。 object.Path object 应为 File、Folder 或 Drive 对象的名称。 说明 对于驱动器,路径不包含根目录。
ParentFolder 属性 返回指定文件或文件夹的父文件夹。只读。 object.ParentFolder object 应为 File 或 Folder 对象的名称。 说明 以下代码
Name 属性 设置或返回指定的文件或文件夹的名称。可读写。 object.Name [= newname] 参数 object 必选项。应为 File 或&
Line 属性 只读属性,返回 TextStream 文件中的当前行号。 object.Line object 通常是 TextStream 对象的名称。 说明 文件刚
Key 属性 在 Dictionary 对象中设置 key。 object.Key(key) = newkey 参数 object 必选项。通常是 Dictionary 
Item 属性 设置或返回 Dictionary 对象中指定的 key 对应的 item,或返回集合中基于指定的 key 的&
IsRootFolder 属性 如果指定的文件夹是根文件夹,返回 True;否则返回 False。 object.IsRootFolder object 应为&n
IsReady 属性 如果指定的驱动器就绪,返回 True;否则返回 False。 object.IsReady object 应为 Drive&nbs
FreeSpace 属性 返回指定的驱动器或网络共享对于用户的可用空间大小。只读。 object.FreeSpace object 应为 Drive 对象的名称。
FileSystem 属性 返回指定的驱动器使用的文件系统的类型。 object.FileSystem object 应为 Drive 对象的名称。 说明 可
Files 属性 返回由指定文件夹中所有 File 对象(包括隐藏文件和系统文件)组成的 Files 集合。 object.Files object&n
我是一名优秀的程序员,十分优秀!