JSF1.2是否具有CSRF保護功能？

Question

我已經使用CSRFtester工具測試了一個JSF應用程序，並且該工具沒有報告任何CSRF問題。但是我讀過「OWASP_Top_10_2007_for_JEE.pdf」，所有Java EE web應用程序框架都容易受到CSRF的攻擊，還有人說我們需要爲每個會話創建一個密鑰並將其附加到url。通過這樣做，我們可以確保我們的JSF應用程序免受CSRF攻擊。這使我感到困惑。我找不到任何明確的文件。 IS JSF容易受到CSRF攻擊？什麼是保護JSF應用程序免受CSRF攻擊的正確方法？請幫助我！

在此先感謝！

Answer 1

是的，JSF容易受到CSRF的影響。就在幾天前，我爲我的JSF 1.2應用程序實現了CSRF預防令牌。

這裏你可以使用什麼：

Tomcat CSRF Prevention Filter（尋源）

Another wonderful solution, can be easily implemented on JSF 1.2

我使用兩種組合。效果很好。