jsf-2 - Primefaces DialogFramework - 如何显示位于 WEB-INF 中的对话框？

Question

我正在使用 Primefaces DialogFramework和

Primefaces 5.0

莫哈拉 2.1.27

Glassfish 3.1.2.2 Build 5

我的问题是，如果用户知道我的对话框的位置，他就可以通过 URL 直接访问它。我不希望这成为可能，所以我认为它可以将对话框放在我的网络应用程序的 WEB-INF 文件夹中，但是现在，如果我想打开对话框，我会得到一个 FileNotFound-Exception。

如果我的对话框位于某个常规文件夹中，则可以正常工作

RequestContext.getCurrentInstance().openDialog("/myfolder/mydialog"); 
// this works as expected

但是如果它位于 WEB-INF 中，它就不再起作用了

RequestContext.getCurrentInstance().openDialog("/WEB-INF/mydialog",options,null);
// this is causing a fileNotFoundException

我还尝试在 faces-config 中为此设置导航规则但再次没有成功

<navigation-case>
    <from-outcome>mydialog</from-outcome>
    <to-view-id>/WEB-INF/mydialog.xhtml</to-view-id>
    <redirect />
</navigation-case>

如何打开位于 WEB-INF 文件夹中的对话框，或者根本不可能？
提前致谢

Answer 1

不幸的是，将 PrimeFaces Dialog Framework 对话框 in /WEB-INF in order to prevent direct access确实行不通。对话框完全加载在客户端。在打开对话框的 POST 请求中，JSF/PrimeFaces 返回一个 oncomplete带有 JavaScript/jQuery 对话框(公共(public)!)URL 的脚本，它依次显示带有 <iframe> 的基本对话框模板其 URL 设置为对话 URL，对话 URL 依次加载内容。实际上，发送了 2 个请求，第一个请求获取对话的 URL，第二个请求基于 <iframe> 中的那个 URL 获取对话的内容。 .

无法将对话框保留在 /WEB-INF 中无需通过 <p:dialog> 退回到“传统”对话方法和通过 JS/CSS 的条件显示。如果请求来自 <iframe>，服务器端也无法根据某些 header 进行验证。 ，以便可以简单地阻止所有其他人。您最接近的赌注是referer header ，但这可以被欺骗。

减少滥用的一种方法是检查 pfdlgcid 的存在。请求对话时的请求参数(由 Constants.DIALOG_FRAMEWORK.CONVERSATION_PARAM 标识)。 PrimeFaces 即将此表示“对话 ID”的请求参数附加到对话 URL。假设所有对话框都存储在一个文件夹中 /dialogs , 那么你可以用一个简单的 servlet filter 来完成这项工作.这是一个启动示例，它在 /dialogs/* 时发送 HTTP 400 错误。正在请求没有 pfdlgcid请求参数。

@WebFilter("/dialogs/*")
public class DialogFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String id = request.getParameter(Constants.DIALOG_FRAMEWORK.CONVERSATION_PARAM);

        if (id != null) {
            chain.doFilter(req, res); // Okay, just continue request.
        }
        else {
            response.sendError(HttpServletResponse.SC_BAD_REQUEST); // 400 error.
        }
    }

    // ...
}

然而，施虐者可能没有那么愚蠢，发现 pfdlgcid在正常流程中请求参数，并且在提供该参数时仍然能够单独打开对话框，即使是随机值。我想比较实际的pfdlgcid对已知的值。我检查了 PrimeFaces DialogNavigationHandler源代码，但不幸的是，PrimeFaces 不会将此值存储在 session 中的任何位置。您需要提供自定义 DialogNavigationHandler存储 pfdlgcid 的实现 session 映射中的值，该值又在 servlet 过滤器中进行比较。

首先在DialogFilter中添加如下方法:

public static Set<String> getIds(HttpServletRequest request) {
    HttpSession session = request.getSession();
    Set<String> ids = (Set<String>) session.getAttribute(getClass().getName());

    if (ids == null) {
        ids = new HashSet<>();
        session.setAttribute(getClass().getName(), ids);
    }

    return ids;
}

然后复制粘贴PrimeFaces DialogNavigationHandler source code到您自己的包中，并在第 62 行之后添加以下行:

DialogFilter.getIds((HttpServletRequest) context.getExternalContext().getRequest()).add(pfdlgcid);

替换 <navigation-handler>在 faces-config.xml与定制的。

最后，更改 if DialogFilter#doFilter() 中的条件方法如下:

if (getIds(request).contains(id)) {
    // ...
}

现在，这可以防止施虐者尝试使用随机 ID 打开对话框。然而，这并不能阻止施虐者尝试通过复制粘贴确切的 <iframe> 来打开对话框。打开后立即显示 URL。鉴于 PrimeFaces 对话框架的工作方式，没有办法阻止这种情况。您最多可以删除 pfdlgcid当对话即将返回父级时， session 中的值。但是，当通过纯 JS 方式关闭对话框时，这也被绕过了。

总而言之，如果您真的，真的，想要避免最终用户能够单独打开对话框，那么您不能绕过“传统”<p:dialog>方法。