我有一个带有表单和禁用的CommandButton的JSF页面。现在可以通过HTML-Browser操作(例如Firebug)启用禁用按钮,并执行按钮后面的操作。
JSF是否可以防止此类篡改方案(至少对于禁用的输入字段,提交应该失败)。
是否有JSF的内置功能可以防止此类问题,或者我应该提供自定义解决方案吗?
答案 0 :(得分:0)
我找到了原因。感谢@BalusC!原因是在JSF实现apache myfaces jsf 2.0.2。
从这里decode() method的源代码,我们可以发现实现不会确定按钮是否被禁用或queueEvent()之前的只读。这提供了篡改它的可能性。