gpt4 book ai didi

events - JSF f :event safe to pass parameters?

转载 作者:行者123 更新时间:2023-12-02 05:37:11 24 4
gpt4 key购买 nike

我是 JSF 的新手,所以我对一些标签的了解不是很好。我想知道在这种情况下传递参数有多安全:

<f:event listener="#{backBean.myMethod(**param**)}" type="preRenderView"/> 

因为,当我要传递这个“参数”时,用户不能访问这个信息(改变这个值意味着安全漏洞,这是不可能发生的)。所以我问这个是为了知道使用这个事件是否有可能破坏这段代码(传递另一个参数)?

谢谢!

最佳答案

如果最终用户无法控制 param 值,那么您就安全了。就那么简单。您直接或间接(通过 JSF 或从 DB!)从 HttpServletRequest 中提取的任何内容都在最终用户的完全控制之下。

因此,例如,如果您对其进行硬编码,

<f:event listener="#{backBean.myMethod('foo')}" type="preRenderView"/> 

那你就安全了。

但是如果你传递一个用户控制的请求参数,

<f:event listener="#{backBean.myMethod(param.foo)}" type="preRenderView"/> 

只有当你在服务器端验证它的值时你才是安全的。

关于events - JSF f :event safe to pass parameters?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11511738/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com