个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我正在探索 JSF 2.2 中的新功能(到目前为止非常酷),但我仍然不明白 protected View 是如何工作的,我创建了一个包含 Facelet2 链接的 Facelet1,如下所示:
<h:link styleClass="link" value="Go to protected page" id="link1"
outcome="/protected/facelet2.xhtml"></h:link>
并在我的 faces-config.xml 中添加了以下内容:
<protected-views>
<url-pattern>/protected/facelet2.xhtml</url-pattern>
</protected-views>
现在,当我运行页面时,网址中会添加一个 token :
http://localhost:8080/<project>/protected/facelet2.faces?javax.faces.Token=1426608965211
根据文档,如果token与服务器中的token不匹配,则不会处理GET请求(我的理解正确吗?)。
但是,如果我修改 token (使用 Firebug 或浏览器中包含的开发工具),即使 token 被修改,请求仍然会被处理。
我做错了什么吗?
最佳答案
这是因为您的 FacesServlet 造成的显然映射到 JSF 1.0 风格的 URL 模式 *.faces而不是 JSF 2.0 风格的 URL 模式 *.xhtml 。 <protected-views><url-pattern>必须与您在浏览器地址栏中看到的实际 URL 模式匹配。
因此,给定实际 URL /protected/facelet2.faces ,您需要进行如下配置:
<protected-views>
<url-pattern>/protected/facelet2.faces</url-pattern>
</protected-views>
但是,在此过程中,我发现了当前 Mojarra 2.2.10 实现中的一些令人讨厌的问题:
它实际上并没有按照 Servlet 12.1 规范进行前缀/后缀匹配(there's even a vague comment in source code indicating that!)。它只是进行精确匹配。这意味着,您不能使用通配符 URL 模式,如 /protected/* .
生成 <h:link> 时,它不会将 protected View URL 模式与已解析的 URL 进行比较,而是与 JSF View ID 进行比较。而且,在检查传入请求时,它不会将请求 URL 与 JSF View ID 进行比较(就像在链接生成期间一样),而是与 <url-pattern> 进行比较。 。因此,这永远不会匹配,这完全解释了为什么您可以在没有有效 token 的情况下简单地访问它。
基本上,如果您需要保留 JSF 1.0 样式的 URL 模式 *.faces,则需要以下配置.
<protected-views>
<url-pattern>/protected/facelet2.xhtml</url-pattern>
<url-pattern>/protected/facelet2.faces</url-pattern>
</protected-views>
然后它会正确抛出 javax.faces.application.ProtectedViewException在没有有效 token 的情况下进行访问时。更好的是只映射 FacesServlet明确在 *.xhtml在web.xml .
<servlet-mapping>
<servlet-name>facesServlet</servlet-name>
<url-pattern>*.xhtml</url-pattern>
</servlet-mapping>
这样您就永远不需要处理虚拟 URL。
我已将此事报告给 Mojarra 人员:issue 3837 .
关于jsf - 操作 CSRF token 后,在 <protected-views> 中声明的 View 仍然可以访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29104597/
26
4
0
我在尝试从子文件夹调用 View 时遇到一些错误。首先,这东西能用 Route::get('/', function() { return View::make('sample'); }); 但是当我
我有另一个 View 设置,并准备好等待其viewmodel。我的RelayCommand到达我的“当前” View 模型。从当前的 View 模型显示新 View 的最佳方法是什么? 我一直在阅读,
我有一个 bigquery View ,我想与数据分析师共享,以便他们可以通过 Data Studio 访问其数据。此共享 View 对另一个数据集中的私有(private) View 进行查询,而私
我有 3 个 View ,并希望将它们集成到一个 View 中,以便它们成为这一 View 中的子文件夹。 我怎样才能做到这一点?还是我必须制作一个 View ,然后再次手动添加和配置这些 View
我在沙发数据库中有一些文档,这些文档的字段是不同关联文档的ID数组: { associatedAssets: ["4c67f6241f4a0efb7dc2abc24a004dfe", "270f
我正在开发一个小实用程序 View ,它将嵌入到我们的几个应用程序中。它将位于一个公共(public)图书馆中。 我应该将其作为 ViewModel 以及默认的 View 实现公开,还是作为具有固定
由于我的某些 View 具有相似的功能,因此我希望能够与每个 View 共享相同的 View 模型。我的想法是将 token 传递给viewmodel的构造函数,但这将导致代码中出现许多if和else
我有一个目标 View (蓝色 View 和红色 View 用于左上角位置)。我试图用手指移动这个 View 。如果 View 不旋转,一切都很好。 但当我旋转 View 并移动时,第一次就很好了。但
我收到这个错误, "Attempt to invoke virtual method 'android.view.View android.view.View.getRootView()' on a
我将发布我目前拥有的源代码,然后解释我的问题。 这是我希望过渡发生的窗口 这是关联的 View 模型 public class MainViewModel {
我正在尝试找出我遇到的错误。最初,我的同事只是使用 将 View 添加到 subview 中 [self.view addSubview:someController.view]; 来自当前ViewC
我是 MVVM 的新手,需要一些帮助。 我的应用程序由许多不同的窗口组成,这些窗口显示允许用户编辑业务层中的数据的控件。 目前,每次用户打开这些窗口之一的新实例时,都会从头开始创建一个 ViewMod
我一直在寻找与我类似的问题以找到解决方案,但我真的找不到类似的东西。 我试图使用 asynctask 类从解析中下载帖子数组,在获取帖子后,它应该在我的页面中设置帖子数组,并执行 setAdapter
这个问题在这里已经有了答案: What is local/remote and no-interface view in EJB? (2 个答案) 关闭 9 年前。 我以前理解它的意思是“接口(in
希望这不会太困惑。 我有一个主视图 Controller ( MainView ),在 View 底部有一个堆栈 View ,在堆栈 View 中我有三个 View 。在一个 View 中(我们称之为
我一直在想这个问题,我真的不知道如何正确地将一个 View Controller 管理的 View 添加到另一个 View Controller 的 View 中。 这不起作用,因为 View 没有完
在明显的情况下,我必须将大量文件从一个 View 复制到另一个 View 。要复制的文件名将作为输入给出。有什么想法可以通过脚本实现吗? 谢谢,日语 最佳答案 最简单的方法是使用 clearfsimp
我正在使用完整日历。这里我的问题是,当单击上一个按钮或下一个按钮单击功能时,如何找到月 View 、周 View 或日 View 格式的完整日历。这里正在调用下一个和上一个按钮的自定义代码。因为使用这
我对这两者感到困惑,并试图找出差异,但没有得到我正在寻找的特定内容。 在哪里使用索引 View 而不是普通 View 。 它们之间的一些重要区别。 最佳答案 关键的区别在于物化 View 很好,物化了
我在一个 xib 中有一个 CustomView,在两个不同的 xib 中有两个不同的 View 。我想在一个 CustomeView 中依次显示这两个 View 。我有一个 NSView 对象,它连
我是一名优秀的程序员,十分优秀!