Hallo Leute,
ich bin gerade auf ein kleines Verständnisproblem gestoßen das ich nicht gelöst bekomme.
Und zwar habe ich mich folgendes gefragt:
Ich habe eine ManagedBean für mehrere JSF-Seiten.
Manche der Seiten befinden sich in einem geschützten Bereich.
In meiner ManagedBean befinden sich verschiedene public Methoden.
Manche davon sollen nur durch einen Admin ausgelöst werden können.
Die Frage ist nun ob es theoretisch möglich ist eine Funktion in einer ManagedBean auszulösen ohne dass auf der JSF-Seite auf der ich mich gerade befinde eine Aktion dafür ausgelöst werden kann?
Also z. B. durch einen gefälschten Request mit den entsprechenden Parametern.
Oder ist JSF2 so sicher, dass ich nicht an Funktionen herankomme die ich nicht über eine Komponente der JSF-Seite angeboten bekomme?
In meinen Büchern steht z. B. drin, dass man das rendered-Attribute der Tags verwenden kann um bestimmte Funktionen nur bestimmten Usern zur Verfügung zu stellen. Aber ist das dann wirklich auch hackersicher? Sprich ist der Zugang zur Methode der Bean "gesperrt" nur weil die JSF-Seite keine Aktionsmöglichkeit dafür bietet?
Vielen Dank und LG
Chris
ich bin gerade auf ein kleines Verständnisproblem gestoßen das ich nicht gelöst bekomme.
Und zwar habe ich mich folgendes gefragt:
Ich habe eine ManagedBean für mehrere JSF-Seiten.
Manche der Seiten befinden sich in einem geschützten Bereich.
In meiner ManagedBean befinden sich verschiedene public Methoden.
Manche davon sollen nur durch einen Admin ausgelöst werden können.
Die Frage ist nun ob es theoretisch möglich ist eine Funktion in einer ManagedBean auszulösen ohne dass auf der JSF-Seite auf der ich mich gerade befinde eine Aktion dafür ausgelöst werden kann?
Also z. B. durch einen gefälschten Request mit den entsprechenden Parametern.
Oder ist JSF2 so sicher, dass ich nicht an Funktionen herankomme die ich nicht über eine Komponente der JSF-Seite angeboten bekomme?
In meinen Büchern steht z. B. drin, dass man das rendered-Attribute der Tags verwenden kann um bestimmte Funktionen nur bestimmten Usern zur Verfügung zu stellen. Aber ist das dann wirklich auch hackersicher? Sprich ist der Zugang zur Methode der Bean "gesperrt" nur weil die JSF-Seite keine Aktionsmöglichkeit dafür bietet?
Vielen Dank und LG
Chris