需要使用 myfaces 1.1 针对 Wildfly 10 反序列化不受信任数据的示例代码
Posted
技术标签:
【中文标题】需要使用 myfaces 1.1 针对 Wildfly 10 反序列化不受信任数据的示例代码【英文标题】:Need sample code for De-serialization of untrusted data with myfaces 1.1 against wildfly 10 【发布时间】:2018-08-25 06:58:58 【问题描述】:Myfaces 序列化视图状态字符串易受攻击,因此需要一些示例代码来测试 myfaces 1.1 对 wildfly 10 的不可信数据的反序列化。
【问题讨论】:
【参考方案1】:当在客户端保存模式下使用时,Myfaces 视图状态确实容易受到 Java 反序列化攻击。 Luca Carettoni 早在 2008 年就利用并报告了 Sun Java Web Console 中的漏洞。Sun 然后决定使用服务器端保存视图状态。
如果您负担得起使用服务器端保存模式,请使用以下上下文参数:
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
如果您想继续使用客户端保存视图状态,请确保使用强大的算法加密和解密视图状态,方法是设置以下上下文参数,如myfaces wiki 中所述。
【讨论】:
以上是关于需要使用 myfaces 1.1 针对 Wildfly 10 反序列化不受信任数据的示例代码的主要内容,如果未能解决你的问题,请参考以下文章
Icesfaces vs Myfaces vs Primefaces
使用捆绑在 webapp 中并在 Wildfly 上运行的 myfaces 时未调用 CDI Bean 方法