2
我沉浸在Struts中,我开始学习JSF 2.0。我能否继续使用Struts中的工具来减少攻击媒介,还是有新的攻击媒介需要编码?JSF的安全性问题是什么?
A
回答
6
JSF/Facelets在默认情况下已经转义输出UIOutput和UIInput组件。所以只要你重新显示用户控制输入<h:outputText>和<h:inputWhatever>,那么XSS部分是安全的。
JSF也具有内置的防止CSRFjavax.faces.ViewState隐藏的输入字段。在JSF 2.1之前,这只是“太容易”猜测,另请参阅JSF impl issue 812和JSF spec issue 869。最近(2010年10月3日)JSF 2.1已经修复。
请注意,针对SQL injection攻击的预防不是Web MVC框架的责任。您需要在数据层中解决该部分。如果您以正确的方式使用JPA(即,不要连接SQL字符串中的用户控制输入,但使用参数化查询),那么该部分也是安全的。
相关问题
- 1. 散居的安全问题是什么?
- 2. 评估用户代码的安全性问题是什么?
- 3. 代码访问安全性问题 - 这里有什么问题?
- 4. 什么是“内存泄漏”?这是一个性能问题或安全问题?
- 5. JSF 2.0的安全性(framework?)
- 6. Webservice安全性 - 什么是足够的?
- 7. javascript minification的安全性是什么
- 8. JSF转发和安全约束问题
- 9. 为什么suhosin.executor.allow_symlink存在安全问题?
- 10. 什么时候线程安全问题?
- 11. DB2安全性问题
- 12. Silverlight window.external.notify()安全性问题?
- 13. 什么是.NET中的代码访问安全性
- 14. 什么是asp.net mvc中的安全问题?
- 15. 此实施SSO的潜在安全问题是什么?
- 16. SendBroadcast会导致什么样的安全问题,什么是更好的方法?
- 17. .NET:XmlReaderSettings中ProhibitDtd属性的用途是什么?为什么DTD是一个安全问题?
- 18. 如果Magento中的local.xml可公开访问,那么安全问题是什么?
- 19. 什么是安全问题,创建文件
- 20. 这个Rack :: Protection :: FormToken是什么时候出现安全问题?
- 21. 为什么RPC over HTTP是一个安全问题?
- 22. JSF中的基本安全性
- 23. REST和JSF的弹簧安全性
- 24. Java的安全性问题ScriptEngine
- 25. C# - InternalsVisibleTo属性的安全问题
- 26. 为MongoDB提供安全性的问题
- 27. 什么是“安全变量”?
- 28. 什么是运输安全?
- 29. 什么是春季安全
- 30. 什么是类型安全?
@BalusC + 1感谢您的意见,我们只介绍了UIOutput和UIInput,它看起来很有前途。 – bakoyaro 2010-12-14 14:42:29
@BalusC过滤器如何?由于'javax.faces.webapp.FacesServlet实现了javax.servlet.Servlet',我应该可以为任何通过我编写的Facelet创建的输入和输出过滤器编写输入和输出过滤器。 – bakoyaro 2010-12-14 21:12:38
JSF确实运行在Servlet API之上。你确实可以在JSF webapp上使用servlet过滤器,但是我没有看到它们对于像XSS/CSRF/SQLI这样的安全问题有用。他们能做的最好的事情是根据登录用户进行认证/授权检查。在过滤器中消毒输入/输出的方式是一个糟糕的主意 - 如果您想要的话。输出转义(防止XSS)只能在视图方面完成。输入转义(以防止SQLI)应该只在数据层完成。 – BalusC 2010-12-14 21:14:12