操作 CSRF 令牌后，在中声明的视图仍然可以访问

2023-12-29

我正在探索 JSF 2.2 中的新功能（到目前为止非常酷），但我仍然不明白受保护的视图是如何工作的，我创建了一个带有 Facelet2 链接的 Facelet1，如下所示：

<h:link styleClass="link" value="Go to protected page" id="link1"
    outcome="/protected/facelet2.xhtml"></h:link>

在我的 faces-config.xml 中我添加了以下内容：

<protected-views>
    <url-pattern>/protected/facelet2.xhtml</url-pattern>
</protected-views>

现在，当我运行页面时，会在 url 中添加一个令牌：

http://localhost:8080/<project>/protected/facelet2.faces?javax.faces.Token=1426608965211

根据文档，如果令牌与服务器中的令牌不匹配，则不会处理 GET 请求（我的理解正确吗？）。

但是，如果我修改令牌（使用 Firebug 或浏览器中包含的开发工具），即使令牌被修改，请求仍然会被处理。

难道我做错了什么？

这是因为你的FacesServlet显然映射到 JSF 1.0 风格的 URL 模式*.faces而不是 JSF 2.0 风格的 URL 模式*.xhtml. The <protected-views><url-pattern>必须与您在浏览器地址栏中看到的实际 URL 模式匹配。

因此，给定一个实际 URL/protected/facelet2.faces，您需要如下配置：

<protected-views>
    <url-pattern>/protected/facelet2.faces</url-pattern>
</protected-views>

However在此过程中，我发现了当前 Mojarra 2.2.10 实现中的一些令人讨厌的问题：

它实际上并没有按照 Servlet 12.1 规范进行前缀/后缀匹配（源代码中甚至有一个模糊的注释表明 http://grepcode.com/file/repo1.maven.org/maven2/org.glassfish/javax.faces/2.2.9/com/sun/faces/application/view/MultiViewHandler.java#273！）。它只是进行精确匹配。这意味着，您不能使用通配符 URL 模式，例如/protected/*.
当生成<h:link>，它不会将受保护的视图 URL 模式与已解析的 URL 进行比较，而是与 JSF 视图 ID 进行比较。并且，在检查传入请求时，它不会将请求 URL 与 JSF 视图 ID 进行比较（就像在链接生成期间一样），而是与<url-pattern>。因此，这永远不会匹配，这完全解释了为什么您可以在没有有效令牌的情况下简单地访问它。

基本上，如果您需要保留 JSF 1.0 风格的 URL 模式，则需要以下配置*.faces.

<protected-views>
    <url-pattern>/protected/facelet2.xhtml</url-pattern>
    <url-pattern>/protected/facelet2.faces</url-pattern>
</protected-views>

然后它会正确抛出javax.faces.application.ProtectedViewException在没有有效令牌的情况下进行访问时。更好的是只绘制地图FacesServlet明确地在*.xhtml in web.xml.

<servlet-mapping>
    <servlet-name>facesServlet</servlet-name>
    <url-pattern>*.xhtml</url-pattern>
</servlet-mapping>

这样您就永远不需要处理虚拟 URL。

我已将此事报告给 Mojarra 人员问题 3837 https://java.net/jira/browse/JAVASERVERFACES-3837.

也可以看看：

有时我看到 JSF URL 是 *.jsf，有时是 *.xhtml，有时是 /faces/*。为什么？ https://stackoverflow.com/questions/3008395/jsf-facelets-sometimes-i-see-the-url-is-jsf-and-sometimes-xhtml-why

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Jsf

facelets

jsf22

protectedviews

操作 CSRF 令牌后，在中声明的视图仍然可以访问的相关文章

Primefaces 对话框渲染两次

我创建了一个 ui component 来像弹出窗口一样使用因此我可以使用此模板的标准创建很多弹出窗口该组件只是一个带有两个按钮取消和提交的弹出窗口和一个可以覆盖的内容如下所示
处理“EJB 不存在”或“无法从 BACKUPSTORE FOR Key 加载”

所以问题很简单我们使用 JSF 2 0 与 Primefaces 和 EJB 来处理我们的应用程序但遇到了问题我们有一个单 SessionScoped我们存储所有的bean Stateful Session Beans 在一种情况下
在应用程序服务器上存储 PDF 一段有限的时间并可供下载

您好我正在使用 PrimeFaces 5 JSF 2 和 tomcat 有人可以向我展示或给我一个关于如何在应用程序服务器上在有限时间内存储 pdf 的想法吗我正在使用 tomcat 然后下载它如果这是用户请求的此功能与发票相关因
默认情况下，JSF 生成不可用的 ID，这些 ID 与 Web 标准的 CSS 部分不兼容

活跃的 JSF 或 Primefaces 用户能否解释一下为什么默认情况下会发生这种情况为什么没有人对此采取任何措施
无法让 PrimeFaces RequestContext.getCurrentInstance().openDialog() 工作

无法获取 PrimeFacesRequestContext getCurrentInstance openDialog 上班我直接从 primefaces 展示中提取了示例代码但我从未打开过对话框我正在使用在 Wildfly 8 2
使用条件渲染时，未在请求作用域 bean 中处理输入值

我知道此类问题已在这里被问过数百万次但我在相关帖子中找不到我的问题的解决方案 JSF 1 2 我有一个请求范围的 bean 其方法用作 valueChangeListener class DoStuff public void step1
JSF 错误 - IllegalStateException：PWC3999：提交响应后无法创建会话[重复]

这个问题在这里已经有答案了我是 JSF 新手正在构建一个使用 Facelet 创建的应用程序这是我的模板master xhtml
如何在 h:outputText 中写入单引号和双引号

如何在 value 属性中写入单引号和双引号h outputText 这应该适用于标准语法 JSP 和 XML 视图技术
ExternalContext#dispatch() 不起作用

我有服务器端倒计时计数器当它 0时方法应该执行ExternalContext dispatch 但它没有做到方法ExternalContext redirect 在这个地方工作正常 else try FacesContext getC
在内插入换行符

基本上我只是想添加一个 br 或等效的东西到 a 的值属性
JSF 2：如何在同一输入中显示不同的ajax状态？

当每个字段失去焦点时我想验证表单中的每个字段当发生这种情况时我希望发生以下操作 1 在字段的右侧出现一个图像一个 gif 表示系统正在检查用户输入 2 完成后会在右侧出现另一个 gif 取决于输入例如 success gif 或
JSF2.0 中的空白输入字段未设置为 NULL

我有一个支持 bean 其中 fileld 为 Long Double Integer String 当我没有在输入字段中指定任何内容时长整型整数和双精度值将被视为零而不是空我正在使用 tomcat 来部署我的应用程序有什么解决办
JBoss Weld + java.lang.OutOfMemoryError：永久代空间

我刚刚切换到 Weld 以利用 CDI JSF 2 Beans 对话范围这是我的 Maven 依赖项
我们可以直接在 JSF xhtml 文件中访问会话范围变量吗

您好我正在开发一个 JSF 项目我想直接访问我的 xhtml UI 页面上的一些会话级变量而不使用任何托管 bean 只是想知道这是否可能如果可以那么如何 Thanks 是的有可能如果光束不存在则首先将其放入会话中 Face
如何使用jsf组件显示丰富的内容？

我使用 rich 编辑器组件输入丰富的内容并将其保存在数据库中当我尝试在 outputText 字段中显示它时丰富的标签不会被解释并显示为简单文本所以我的问题是如何让 jsf 组件或 Richfaces 解释这些丰富的内容并正确
将方法参数/参数传递给复合组件操作属性

标题确实说明了一切我尝试过但失败并出现以下错误 Illegal attempt to pass arguments to a composite component lookup expression i e cc attrs iden
JSF中直接更改URL来限制用户访问页面

我的应用程序中有两种用户客户和卖家我正在使用一个PhaseListener在JSF中防止用户在未登录的情况下访问页面但在登录后我不知道如何防止用户更改地址栏中的URL并访问他也不允许的页面例如阻止客户访问卖家页面有谁知道我如何防
ui:define with generated="false" 属性仍然呈现
如何在@FacesConverter中注入@EJB、@PersistenceContext、@Inject、@Autowired等？

我怎样才能注入像这样的依赖项 EJB PersistenceContext Inject AutoWired等在一个 FacesConverter 在我的具体情况下我需要通过注入 EJB EJB FacesConverter public
f:ajax 不工作

我很难得到f ajax从事某项工作h panelGroup 这就是我正在做的 JSF 代码

随机推荐

嵌套 BlocBuilder() 调用的问题

我的 Flutter 应用程序有多个 BloC 通过bloc and 颤振块包这导致了一些技术困难我使用解决方法解决了这些问题但我想知道是否有更好的解决方案我在用块构建器当监听一个块时每个块都有自己的 BlocBuilder 调
如何从联系人中获取手机号码

我的应用程序要求从联系人列表中选择一个联系人然后仅获取所选联系人的姓名和手机号码以将其存储在应用程序中我成功获取了姓名但如何验证该联系人是否有手机号码不是一个家然后得到号码如何查看联系人是否有一个或多个手机号码在android
设置文本换行的限制

我正在尝试生成一个包含四个季度的图每个季度都有一些文字说明该季度的情况但是当我尝试换行文本时我不知道如何设置文本限制例如在附图中我想将文本限制为x 0 但是它会一直持续到 x 轴限制的末尾请查找附件中的代码以及代码生成的相
Cygwin 中未安装 C++

我刚刚安装了 Cygwin 并且可以从 Windows 启动 bash shell 执行ls emacs vi等等但是当我这样做时g 它说命令未找到我想g Cygwin 中默认安装了吗如果不是这种情况我可以添加的确切类别是什么g
我可以在 iTunes Connect 上更改应用程序的类别吗？

我在应用程序商店添加了我的应用程序的许多版本其中实用程序作为主要类别但现在我想将其添加为生活方式类别我可以在不删除应用程序的情况下更改此类别吗创建应用程序的新版本并再次提交二进制文件在创建新版本时我们可以更改主要类别和次要类别
将 PyArrayObject 数据类型转换为 C 数组

我想在 C 扩展中使用我的 Numpy 数组这种情况下的许多示例都使用 PyArrayObject 的结构 array gt data array gt strides 0 array gt strides 1 指针以便访问数据如果我想
查看休假事件

我在 SAPUI5 应用程序中声明了一个视图控制器现在我想要离开视图时执行任务由用户已经可以添加回调函数了attachRoutePatternMatched现在为了在用户导航视图时执行任务我需要一个等效的函数来处理视图的离开我用一
当我使其中一个视图无效时，为什么我的布局会完全重绘？

我有一个复杂的框架布局其中包含多个自定义视图主要视图是一个图表覆盖图表的是一个自定义视图它代表一个十字线指针用户可以在图表周围拖动该指针以读取有关特定数据点的详细信息框架布局捕获所有触摸事件在其每个子视图上调用命中测试方法
如何在 Rust 的 Cargo build 中指定 GLIBC 版本？

我使用 Rust 1 34 和 1 35 目前它链接到GLIBC 2 18 我该如何限制cargo build链接GLIBC最新版本2 14 不幸的是你不能不是真的而且不一致这是任何动态链接到 GLIBC 的二进制文件都会遇到的问题
pywinauto capture_as_image 添加不需要的边框

我在用pywinauto截取特定窗口的屏幕截图这是我用来捕获记事本的代码法语 Bloc notes from pywinauto import Application app Application connect title re B
Chrome 扩展程序“拒绝加载脚本，因为它违反了以下内容安全策略指令”

我正在尝试创建一个 Chrome 扩展但我的 JS 都不起作用控制台显示此错误拒绝加载脚本 https ajax googleapis com ajax libs jquery 1 12 0 jquery min js https a
如何使用 SQL 注入提取登录信息？

这是后端 PHP 代码我将在其中测试漏洞 if isset POST login isset POST password login POST login password POST password sql SELECT FROM us
使用 VBA 单击 IE 网页中的链接/按钮

我已经阅读了很多有关使用 VBA 单击 IE 中的链接的信息但我无法让它在我的情况下工作相关HTML代码如下 div a class Row Icon Company XYZ 12345 a div 我尝试过的VBA代码记录了3种不同
django-admin 命令在 Mac 操作系统中不起作用

我在 Mac OS 中启动了 Django 并在使用 pip 安装 Django 后尝试使用以下命令启动一个新项目django admin startproject mysite 我收到错误 bash django admin comma
Android 无边框对话框

我使用 AlertDialog Builder 创建了一个 AlertDialog 但对话框边框占用了屏幕上太多的空间如何去除边框我尝试过使用另一个活动来模拟具有透明背景的对话框但是该对话框被重复使用并且每次创建一个新的活动都会带来
为什么会出现以及如何修复 ffmpeg 上的警告/错误：没有足够的帧来估计速率；考虑增加探针大小？

我正在使用的命令 ffmpeg f gdigrab framerate 24 i desktop preset ultrafast pix fmt yuv420p camera1 mp4 流 0 没有足够的帧来估计速率考虑增加探针大小并
将两个输入绑定到同一模型

正如这个笨蛋所证明的那样 http plnkr co edit 74j8DhCPUJwNZ1ckg1rg p preview 我想要一个两者更新相同 scope变量以及彼此现在当我更新一个输入时 scope 变量发生更改但另一个范
尝试从 scala 序列化 java map 转换时出现 notserializedException

我有一个方法来序列化java地图Map
找不到与给定名称匹配的资源：attr 'colorPrimary'

我正在尝试更改 android studio 中操作栏的颜色我已经将 minSDKVersion 更改为 21 所以我知道这不是问题但我不断收到错误我不知道发生了什么这是我的 xml
操作 CSRF 令牌后，在中声明的视图仍然可以访问

我正在探索 JSF 2 2 中的新功能到目前为止非常酷但我仍然不明白受保护的视图是如何工作的我创建了一个带有 Facelet2 链接的 Facelet1 如下所示

操作 CSRF 令牌后，在 中声明的视图仍然可以访问

也可以看看：

操作 CSRF 令牌后，在 中声明的视图仍然可以访问 的相关文章

随机推荐

热门标签

操作 CSRF 令牌后，在中声明的视图仍然可以访问

操作 CSRF 令牌后，在中声明的视图仍然可以访问的相关文章