如果关联组件未呈现，是不是可以调用 JSF Bean 的 Setter？

Posted 2023-02-22

【中文标题】如果关联组件未呈现，是不是可以调用 JSF Bean 的 Setter？

【英文标题】：Calling Setter of JSF Bean possible if associated component not rendered?如果关联组件未呈现，是否可以调用 JSF Bean 的 Setter？

【发布时间】：2012-06-18 14:03:20

【问题描述】：

我有一个关于 JSF 安全性的问题。如果相关组件未呈现（例如使用 curl 之类的工具），攻击者是否有可能调用 JSF Bean 的 setter？ 或者这是否由 JSF 检查，以便我可以认为这是安全的？

【参考方案1】：

只有当rendered 条件依赖于 HTTP 请求附带的参数、标头、cookie 等数据时，它才是可攻击的。整个 HTTP 请求完全由用户控制。

例如，如果您只检查登录用户的角色，那么它是安全的 - 除非最终用户猜到具有所需角色的用户的正确用户名/密码并使用它登录，当然。