Фальсификация формы JSF 2.0 путем удаления необходимого ввода

Question

Фальсификация формы JSF 2.0 путем удаления необходимого ввода

У меня есть простая форма в JSF, как это

<h:form>
<p:inputText id="name1" value="#{bean.name1}" maxlength="100" required="true"/>
<p:inputText id="contact1" value="#{bean.contact1}" required="true"/>
<p:commandButton 
    value="Save" 
    action="#{bean.saveForm()}" 
    validateClient="true" />
</h:form>

Я попытался удалить один из входного текста в инспекторе элементов (F12 Chrome), и он фактически обошел "обязательную" проверку для этого поля.

В моем файле web.xml я включил приведенный ниже код, как это предлагается в разделе "В JSF". Как лучше всего предотвратить подделку форм?

<context-param>
    <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
    <param-value>server</param-value>
</context-param>

Я прочитал, что JSF автоматически сохранил viewState на сервере вышеуказанным методом, но, оказывается, я все еще могу его обойти. Я что-то пропустил?

Любая помощь будет оценена. Спасибо!

0

validation security jsf jsf-2 tampering

Источник

user3339812 16 мар '16 в 05:18

0 ответов

Другие вопросы по тегам validation security jsf jsf-2 tampering