Security 启用HTTPS后对JSF应用程序的安全威胁/攻击

我有一个基于JSF2.0的web应用程序，它运行在JBoss上的RF3.3上。 我非常关心web应用程序的安全性

虽然从外部世界到我的Web应用程序的通信是通过HTTPS进行的，但在为我的Web应用程序启用HTTPS后，我仍然不知道还有哪些安全攻击是可能的

至少，web应用程序存在各种各样的安全攻击，但我的重点是OWASP十大安全攻击

JSF自动处理XSS和CSRF攻击（我还使用ESAPI jar来避免CSRF攻击），并且我已经处理了SQL注入攻击

我觉得即使启用https，web应用程序也会受到太多众所周知的潜在威胁/攻击

还有一件事我想告诉你：- 客户将通过HTTPS访问应用程序。但我的应用程序将向另一个内部web应用程序发出某种请求，这种通信是HTTP。因此，协议将从HTTPS更改为HTTP，但由于此更改是在intranet上进行的，我认为不会产生太大影响

请引导我

JSF自动处理XSS

事实并非如此。 是的，默认情况下JSF会自动转义，所以其他人会正确转义HTML特殊字符：

转义布尔值

转义属性是一个布尔标志，用于确定是否应在该组件生成的输出中转义敏感HTML和XML字符。此属性的默认值为

“true”

这会阻止

标记的注入，但不会影响其他主要XSS向量

javascript:

url不需要包含任何“敏感HTML或XML字符”，并且

javascript:

url中的HTML敏感字符被注入

和

如果我可以在你的页面中插入
位置
标题，我可以导致重定向，可能会将带有GET参数的引用者信息重定向到我控制的站点。
如果HTTP连接纯粹是本地网络上的服务器端，那么假设本地网络是可信的，这应该是安全的。根据数据的不同，您可能希望通过使用专用连接而不是与其他用户共享本地网络（如果是这样的话）来锁定此功能。如果您构建的应用程序是安全的（也就是说，如果您在需要时进行适当的输入和输出清理），那么我不明白为什么此网站不应该上线。如果您没有做到这一点，这是另一个问题。@SilverlightFox也许您几乎已经回答了我的问题。我正在使用专用连接在HTTP和HTTPS之间切换。由于HTTP连接纯粹是到我托管的另一个web应用程序，因此我确信本地网络的安全性。我处理过XSRF，XSS和SQL注入攻击来自我的终端。我不确定是否存在标头拆分，因此我无法对此发表评论。但我是否应该得出结论，无论上述攻击/威胁是什么，只有那些需要处理的攻击/威胁才能使web应用程序在internet上安全。虽然没有web应用程序是安全的，但我只想处理web应用程序上的主要攻击/威胁。@Hukamanata，no.“XSRF”，“XSS”，“SQL注入”是漏洞模式的有用标签，但任何基于将向量划分为带标签的存储桶的安全态势都是无效的。真正的安全性需要预先设计：近似应用程序范围（每个模块的POLA），以及。