JSF 2.0 Webサイトのセキュアな管理セクションを設計するための要点

Question

JSF2.0のWebサイトのセキュリティ保護された管理者セクションを設計する際に留意すべき重要なポイントを知りたいと思います。この質問はセキュリティ対策に関するものです。私には2つの疑いもある。同じCSSファイルをパブリックセクションとセキュアな管理セクションの両方で使用されている場合

1. 、 我々は、2つの場所で同じCSSを保つことによって、パブリックセクション のための1つのセキュアな管理セクションのための別のものを、それを分ける必要がありますか？など

2. <h:outputStylesheet>、<h:graphicImage>、常に/resourcesルートフォルダへの相対パス を検討してください。だからどのように にすべてのそれらのCSS、画像、等のファイルを割り当てるには、保護された管理セクションで使用されているパス？ は<h:outputStylesheet>、<h:graphicImage>などを使用しているため、 の保護された管理セクションのパスが表示されることがあります。

Answer 1

同じCSSファイルをパブリックセクションとセキュアな管理セクションの両方で使用されている場合、我々は公共のセクションに1つのセキュアな管理セクションのための別の1、2つの場所で同じCSSを保つことによってそれを分ける必要がありますか？

私はそれがなぜ必要かわかりません。管理セクションに追加のスタイルクラスが必要な場合は、パブリックセクション用の既存のスタイルシートファイルの隣にスタイルシートファイルを追加するのが理にかなっています。パブリックセクションの訪問者は不必要なCSS宣言を取得しないため、セキュリティは向上しませんが、パフォーマンスが向上します。

---

<h:outputStylesheet>、<h:graphicImage>などは常に/resourcesルートフォルダへの相対パスを考えます。だからどのようにすべてのそれらのCSS、画像、etcファイルには、パスを割り当てるには、保護された管理セクションで使用されている？ <h:outputStylesheet>、<h:graphicImage>などを使用すると、保護された管理セクションのパスが表示される可能性があります。

どのように問題になるかはわかりません。あなたは確かに堅実なログインチェックで管理セクションを確保しています。管理セクションで使用されるリソースには、名前/パスワードなどの機密情報は含まれません。しかし、これらのリソースを常に/resourcesフォルダの共通サブフォルダに入れて、同じログインチェックを入れることができます。