Я использую JSF2.1 и Glassfish 3.1.2.

Я указываю ограничение безопасности, чтобы заблокировать все:

    
        Secured Content
        
        /*
    

    
    
        ADMINISTRATOR
    

и другой, чтобы разрешить доступ к подмножеству страниц и ресурсов:

    
        Open Content
        
        /subscribe/*
        /javax.faces.resource/*
    
    

Это отлично работает. Тем не менее, является следующее

/javax.faces.resource/*

правильный способ разрешить все ресурсы?

Я только сделал это, посмотрев URL, который Facelets вставляет в xhtml. Есть ли дыры в безопасности при таком подходе?

Благодарю.