JSF1.2是否具有CSRF保护功能？

Question

我已经使用CSRFtester工具测试了一个JSF应用程序，并且该工具没有报告任何CSRF问题。但是我读过“OWASP_Top_10_2007_for_JEE.pdf”，所有Java EE web应用程序框架都容易受到CSRF的攻击，还有人说我们需要为每个会话创建一个密钥并将其附加到url。通过这样做，我们可以确保我们的JSF应用程序免受CSRF攻击。这使我感到困惑。我找不到任何明确的文件。 IS JSF容易受到CSRF攻击？什么是保护JSF应用程序免受CSRF攻击的正确方法？请帮助我！

在此先感谢！

Answer 1

是的，JSF容易受到CSRF的影响。就在几天前，我为我的JSF 1.2应用程序实现了CSRF预防令牌。

这里你可以使用什么：

Tomcat CSRF Prevention Filter（寻源）

Another wonderful solution, can be easily implemented on JSF 1.2

我使用两种组合。效果很好。