我有一个关于JSF安全性的问题。如果未呈现关联的组件(例如,使用 curl 等工具),攻击者是否可以调用 JSF Bean 的 setter?或者这是否由 JSF 检查,以便我可以假设它是安全的?
只有当rendered条件取决于 HTTP 请求附带的数据(如参数、标头、cookie 等)时,它才可攻击。整个HTTP请求完全由用户控制。
例如,如果您只检查登录用户的角色,那么它是安全的 - 当然,除非最终用户猜出具有所需角色的用户的正确用户名/密码并使用它登录。