Primefaces 开放重定向漏洞
Primefaces open redirect vulnerability
我是 JSF 和 Primefaces 的新手,我正在尝试使用 Primefaces 为 liferay 实现自定义 portlet。要提交简单的表单数据,我使用 ajax 如下:
<f:ajax execute="@form" render="@form :message-show" listener="#{dataController.addData}" onevent="updateProgresBar" />
提交将导致 ajax 调用,它在 url 中有一个带有视图映射的参数,例如
_sampleportlet_WAR_servicexy_INSTANCE_eVh2tM4zSkIj__facesViewIdResource=%2Fview.xhtml
作为 JSF/Primefaces 规范的一部分,您能否建议此 view.xhtml 映射是否受到保护以防止开放重定向漏洞。或者这需要手动处理?如果是这样,您能否建议实施它的最佳实践是什么,例如一些自定义过滤器等?
提前致谢
开发人员有责任确保当前 Liferay 用户有权访问包含在 portlet 应用程序中的特定 JSF 视图、执行托管 bean 方法等。
有关详细信息,请参阅 How do I do security in JSF?
请注意,Liferay Faces Bridge 中存在三个与您的问题直接或间接相关的漏洞:
为了确保您使用的 Liferay Faces 依赖项版本包含针对这些问题的修复程序,请访问 liferayfaces.org 主页并使用下拉菜单选择您的 Liferay Portal 和 JSF 版本.选择后,主页将更新为最新的 Maven/Gradle 依赖项。
我是 JSF 和 Primefaces 的新手,我正在尝试使用 Primefaces 为 liferay 实现自定义 portlet。要提交简单的表单数据,我使用 ajax 如下:
<f:ajax execute="@form" render="@form :message-show" listener="#{dataController.addData}" onevent="updateProgresBar" />
提交将导致 ajax 调用,它在 url 中有一个带有视图映射的参数,例如
_sampleportlet_WAR_servicexy_INSTANCE_eVh2tM4zSkIj__facesViewIdResource=%2Fview.xhtml
作为 JSF/Primefaces 规范的一部分,您能否建议此 view.xhtml 映射是否受到保护以防止开放重定向漏洞。或者这需要手动处理?如果是这样,您能否建议实施它的最佳实践是什么,例如一些自定义过滤器等?
提前致谢
开发人员有责任确保当前 Liferay 用户有权访问包含在 portlet 应用程序中的特定 JSF 视图、执行托管 bean 方法等。
有关详细信息,请参阅 How do I do security in JSF?
请注意,Liferay Faces Bridge 中存在三个与您的问题直接或间接相关的漏洞:
为了确保您使用的 Liferay Faces 依赖项版本包含针对这些问题的修复程序,请访问 liferayfaces.org 主页并使用下拉菜单选择您的 Liferay Portal 和 JSF 版本.选择后,主页将更新为最新的 Maven/Gradle 依赖项。