13 Stimmen

e2k avatar

Wie verhindert man den Benutzerzugriff auf die .xhtml-Seite in JSF?

Gefragt el 15 de April, 2011
Wann wurde die Frage gestellt
12379 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich bin neu in JSF und schreiben erste einfach jsf web app.

URL mit .jsf werden in WebContent auf .xhtml-Dateien abgebildet, aber warum kann ich .xhtml im Webbrowser mit allen jsf-Tags öffnen? Wie kann man dies schützen?

Gefragt el 15 de April, 2011 von e2k

Antworten

Zu viele Anzeigen?

20voto

stacker avatar
stacker Punkte 65961

Sie könnten eine Sicherheitsbeschränkung zu Ihrer web.xml Blockierung aller Anfragen an *.xhtml .

<security-constraint>
    <display-name>Restrict raw XHTML Documents</display-name>
    <web-resource-collection>
        <web-resource-name>XHTML</web-resource-name>
        <url-pattern>*.xhtml</url-pattern>
    </web-resource-collection>
    <auth-constraint />
</security-constraint>
Beantwortet el 15 de April, 2011 von stacker (65961 Punkte )

11voto

BalusC avatar
BalusC Punkte 1034465

Neben der Definition einer <security-constraint> um den direkten Zugang zu .xhtml Dateien, wie von Stacker auf diese Frage richtig beantwortet, könnten Sie auch einfach die <url-pattern> de la FacesServlet Kartierung von *.jsf à *.xhtml .

<servlet>
    <servlet-name>facesServlet</servlet-name>
    <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>facesServlet</servlet-name>
    <url-pattern>*.xhtml</url-pattern>
</servlet-mapping>

In JSF 1.x endete dies in einer Endlosschleife, aber in JSF 2.x nicht mehr. Man könnte also einfach alle Seiten als .xhtml ohne mit verschiedenen Erweiterungen herumspielen zu müssen. Der einzige Nachteil ist, dass Sie eine "einfache" XHTML-Datei nicht anzeigen können, ohne die FacesServlet , aber eine solche Seite sollte den Namen .html sowieso :)

Beantwortet el 15 de April, 2011 von BalusC (1034465 Punkte )

2voto

mk761203 avatar
mk761203 Punkte 76

Für GAE benötigen Sie zwei Dinge:

  1. web.xml wie oben beschrieben bearbeiten

  2. in appengine-web.xml hinzufügen

    <static-files> <exclude path="/**.xhtml" /> </static-files>`

Beantwortet el 15 de Juli, 2012 von mk761203 (76 Punkte )

1voto

chege avatar
chege Punkte 191

Sie können einen Servlet-Filter verwenden

@WebFilter(filterName = "XhtmlFilter", urlPatterns = { "*.xhtml" })
public class XhtmlFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        ((HttpServletResponse) response).sendError(404);
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }
}
Beantwortet el 27 de Juni, 2013 von chege (191 Punkte )

0voto

kreilinger avatar
kreilinger Punkte 111

Soweit ich es erfahren habe, ist die antwort von mk761203 auf jeden fall hilfreich, wenn man ein projekt für google app engine und server faces einrichtet. ohne den ausschluss dieser dateien fügt die GAE die dateien mit der .xhtml extension automatisch als statische dateien ein, die von dedizierten servern von googles server farm bedient werden. lesen sie hier mehr: https://developers.google.com/appengine/docs/java/config/appconfig#Static_Files_and_Resource_Files

Beantwortet el 1 de Juli, 2013 von kreilinger (111 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X