Myfaces 序列化视图状态字符串容易受到攻击,因此需要一些示例代码来测试 myfaces 1.1 针对 Wildfly 10 对不受信任数据的反序列化。
Myfaces Viewstate在客户端保存模式下使用时,确实容易受到Java反序列化攻击。早在2008年,Luca Carettoni就利用并报告了Sun Java Web Console中的漏洞。Sun 随后决定对视图状态使用服务器端保存。
如果您负担得起使用服务器端保存模式,请使用以下上下文参数:
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
如果要继续对视图状态使用客户端保存,请确保通过设置以下上下文参数来使用强算法加密和解密视图状态,如 myfaces wiki 中所述。