我正在使用 Primefaces DialogFramework和
我的问题是,如果用户知道我的对话框的位置,他就可以通过 URL 直接访问它。我不希望这成为可能,所以我认为它可以将对话框放在我的网络应用程序的 WEB-INF 文件夹中,但是现在,如果我想打开对话框,我会得到一个 FileNotFound-Exception。
如果我的对话框位于某个常规文件夹中,则可以正常工作
RequestContext.getCurrentInstance().openDialog("/myfolder/mydialog");
// this works as expected
但是如果它位于 WEB-INF 中,它就不再起作用了
RequestContext.getCurrentInstance().openDialog("/WEB-INF/mydialog",options,null);
// this is causing a fileNotFoundException
我还尝试在
faces-config
中为此设置导航规则但再次没有成功<navigation-case>
<from-outcome>mydialog</from-outcome>
<to-view-id>/WEB-INF/mydialog.xhtml</to-view-id>
<redirect />
</navigation-case>
如何打开位于 WEB-INF 文件夹中的对话框,或者根本不可能?
提前致谢
最佳答案
不幸的是,将 PrimeFaces Dialog Framework 对话框 in /WEB-INF
in order to prevent direct access确实行不通。对话框完全加载在客户端。在打开对话框的 POST 请求中,JSF/PrimeFaces 返回一个 oncomplete
带有 JavaScript/jQuery 对话框(公共(public)!)URL 的脚本,它依次显示带有 <iframe>
的基本对话框模板其 URL 设置为对话 URL,对话 URL 依次加载内容。实际上,发送了 2 个请求,第一个请求获取对话的 URL,第二个请求基于 <iframe>
中的那个 URL 获取对话的内容。 .
无法将对话框保留在 /WEB-INF
中无需通过 <p:dialog>
退回到“传统”对话方法和通过 JS/CSS 的条件显示。如果请求来自 <iframe>
,服务器端也无法根据某些 header 进行验证。 ,以便可以简单地阻止所有其他人。您最接近的赌注是referer
header ,但这可以被欺骗。
减少滥用的一种方法是检查 pfdlgcid
的存在。请求对话时的请求参数(由 Constants.DIALOG_FRAMEWORK.CONVERSATION_PARAM
标识)。 PrimeFaces 即将此表示“对话 ID”的请求参数附加到对话 URL。假设所有对话框都存储在一个文件夹中 /dialogs
, 那么你可以用一个简单的 servlet filter 来完成这项工作.这是一个启动示例,它在 /dialogs/*
时发送 HTTP 400 错误。正在请求没有 pfdlgcid
请求参数。
@WebFilter("/dialogs/*")
public class DialogFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String id = request.getParameter(Constants.DIALOG_FRAMEWORK.CONVERSATION_PARAM);
if (id != null) {
chain.doFilter(req, res); // Okay, just continue request.
}
else {
response.sendError(HttpServletResponse.SC_BAD_REQUEST); // 400 error.
}
}
// ...
}
然而,施虐者可能没有那么愚蠢,发现
pfdlgcid
在正常流程中请求参数,并且在提供该参数时仍然能够单独打开对话框,即使是随机值。我想比较实际的pfdlgcid
对已知的值。我检查了 PrimeFaces DialogNavigationHandler
源代码,但不幸的是,PrimeFaces 不会将此值存储在 session 中的任何位置。您需要提供自定义 DialogNavigationHandler
存储 pfdlgcid
的实现 session 映射中的值,该值又在 servlet 过滤器中进行比较。首先在
DialogFilter
中添加如下方法:public static Set<String> getIds(HttpServletRequest request) {
HttpSession session = request.getSession();
Set<String> ids = (Set<String>) session.getAttribute(getClass().getName());
if (ids == null) {
ids = new HashSet<>();
session.setAttribute(getClass().getName(), ids);
}
return ids;
}
然后复制粘贴PrimeFaces
DialogNavigationHandler
source code到您自己的包中,并在第 62 行之后添加以下行:DialogFilter.getIds((HttpServletRequest) context.getExternalContext().getRequest()).add(pfdlgcid);
替换
<navigation-handler>
在 faces-config.xml
与定制的。最后,更改
if
DialogFilter#doFilter()
中的条件方法如下:if (getIds(request).contains(id)) {
// ...
}
现在,这可以防止施虐者尝试使用随机 ID 打开对话框。然而,这并不能阻止施虐者尝试通过复制粘贴确切的
<iframe>
来打开对话框。打开后立即显示 URL。鉴于 PrimeFaces 对话框架的工作方式,没有办法阻止这种情况。您最多可以删除 pfdlgcid
当对话即将返回父级时, session 中的值。但是,当通过纯 JS 方式关闭对话框时,这也被绕过了。总而言之,如果您真的,真的,想要避免最终用户能够单独打开对话框,那么您不能绕过“传统”
<p:dialog>
方法。
关于jsf-2 - Primefaces DialogFramework - 如何显示位于 WEB-INF 中的对话框?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24960318/