У меня есть 2 проблемы безопасности, с которыми столкнулся мой клиент, и я застрял.
Во избежание кэширования конфиденциальной информации браузерами, правила безопасности клиента требуют, чтобы запросы POST не возвращали 200 ответов. Первоначально я настроил phaseListener для решения этой проблемы, но единственные запросы, которые поступали, были GET. Я обнаружил, что POST-запросом, на который жаловались сотрудники службы безопасности клиента, были ajax-вызовы в BlockingServlet. Как я могу настроить что-то подобное для этого? Я не очень понимаю, как Icefaces работает с информацией, хранящейся в форме, и как я могу гарантировать, что эта информация не хранится в браузере. Я реализовал заголовки без кэширования, но это не совсем надежная защита.
PhaseListener, который я использовал, был в основном http://balusc.blogspot.com/2007/03/post-redirect-get-pattern.html
Клиент также обеспокоен тем, что входные параметры не проверены должным образом, обеспечивая точку входа для XSS. Пример, который они привели, также проходил через blockingServlet. Я подозреваю, что ICEFaces имеет что-то встроенное, чтобы справиться с этим, но я не могу найти информацию об этом. Кто-нибудь может помочь?