Exclua recursos de CSS e imagem na restrição de segurança web.xml
Eu estou usando JSF2.1 e Glassfish 3.1.2.
Eu especifico uma restrição de segurança para bloquear tudo:
<security-constraint>
<web-resource-collection>
<web-resource-name>Secured Content</web-resource-name>
<!-- Block all -->
<url-pattern>/*</url-pattern>
</web-resource-collection>
<!-- only users with at least one of these roles are allowed to access the secured content -->
<auth-constraint>
<role-name>ADMINISTRATOR</role-name>
</auth-constraint>
</security-constraint>
e ter outro para permitir o acesso a um subconjunto de páginas e recursos:
<security-constraint>
<web-resource-collection>
<web-resource-name>Open Content</web-resource-name>
<!-- Allow subscribe -->
<url-pattern>/subscribe/*</url-pattern>
<url-pattern>/javax.faces.resource/*</url-pattern>
</web-resource-collection>
<!-- No Auth Contraint! -->
</security-constraint>
Isso funciona bem. No entanto, é o seguinte
<url-pattern>/javax.faces.resource/*</url-pattern>
a maneira correta de permitir todos os recursos?
Eu só fiz isso olhando o URL que o Facelets injeta no xhtml. Há falhas de segurança nessa abordagem?
Obrigado.