java - 如何在 JSF 页面上禁用 #{session}？

Question

我正在使用 JSF 2.2。我正在尝试将 JSF 用作纯模板语言。然而，有一个问题。在我的环境中创建 JSF 页面的任何用户都可以执行以下操作:

#{session.getAttribute('user').getApiKey()}

在这里，我有一个存储在 session 中的用户对象，而 getApiKey() 方法是该类中的一个 getter。

是否有“web.xml”配置或其他一些技巧可用于在 JSF 页面上完全禁用 session 对象？

Answer 1

Is there 'web.xml' configuration or some other trick that I can use to disable session object completely on a JSF page?

没有。

根据允许的标签、属性和 EL 表达式的白名单手动解析模板(注意:不要使用黑名单，黑客会找到您无法想象的方法)。例如，以下表达式与 #{session.getAttribute('user').getApiKey()} 的效果相同:

#{request.session.getAttribute('user').apiKey}

#{sessionScope.user.apiKey}

#{user.apiKey}

#{facesContext.externalContext.sessionMap.user.apiKey}

#{facesContext.externalContext.session.getAttribute('user').apiKey}

毕竟，JSF/Facelets 可能是错误的工具，用于为客户端提供某种将在服务器中执行的模板。宁可找 BB/ Wiki/ Markdown -like 标记或 whitelisted HTML您通过 <h:outputText escape="false"> 显示的内容.