在专用网络上不加密视图状态是否可以?
Is it ok to leave view state un-encrypted on a private network?
一般性问题。我在专用网络上有一个 Web 应用程序 运行,仅供同事使用。该应用程序在三台不同的服务器上运行,但出于某种原因,每当工作负载管理导致打开的会话跳转到另一台服务器时,就会抛出视图状态错误。将视图状态保存方法更改为客户端并没有解决问题,但是除了禁用 myfaces 核心加密之外还这样做,我认为这会影响保存状态加密。由于此应用程序在专用网络上运行,我想知道是否可以不加密视图状态?表单和提交不包含敏感数据,但是,有一个登录名。也没有注册新用户,只有登录名,因为凭据来自不同的来源,这是唯一的敏感数据。指导将不胜感激!更明确地说,我想知道是否有人可以向我解释这是否是一件安全的事情,并给我一个为什么它安全或不安全的理由。
如果您使用 MyFaces 2.3.x,您可以在使用服务器状态保存时安全地停用加密。即使在 public。参见:https://issues.apache.org/jira/browse/MYFACES-4133
但是我不会为了客户端状态保存而关闭它。
一般性问题。我在专用网络上有一个 Web 应用程序 运行,仅供同事使用。该应用程序在三台不同的服务器上运行,但出于某种原因,每当工作负载管理导致打开的会话跳转到另一台服务器时,就会抛出视图状态错误。将视图状态保存方法更改为客户端并没有解决问题,但是除了禁用 myfaces 核心加密之外还这样做,我认为这会影响保存状态加密。由于此应用程序在专用网络上运行,我想知道是否可以不加密视图状态?表单和提交不包含敏感数据,但是,有一个登录名。也没有注册新用户,只有登录名,因为凭据来自不同的来源,这是唯一的敏感数据。指导将不胜感激!更明确地说,我想知道是否有人可以向我解释这是否是一件安全的事情,并给我一个为什么它安全或不安全的理由。
如果您使用 MyFaces 2.3.x,您可以在使用服务器状态保存时安全地停用加密。即使在 public。参见:https://issues.apache.org/jira/browse/MYFACES-4133
但是我不会为了客户端状态保存而关闭它。