我似乎在网上研究时收到了混杂的信息。阅读本文后:JSF 2.0 如何防止 CSRF
似乎在 JSF2.0 和 2.1 中有一级 CSRF 保护(仅限 web.xml)
似乎 JSF2.2 有两个级别的 CSRF 保护。(web.xml 和 faces-config 更改)
对于 JSF2.x,我可以将其添加到 web.xml。
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
或使用默认 this 到 web.xml:
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>server</param-value>
</context-param>
我的问题是 Morjarra 2.1.3 是否使用这两种设置之一(哪一种)防止 CSRF 攻击?
我了解 JSF 2.2 CSRF 可以通过将以下代码添加到 faces-config.xml 文件中来更明确地使用此设置:
<protected-views>
<url-pattern>/csrf_protected_page.xhtml</url-pattern>
</protected-views>