3

我似乎在网上研究时收到了混杂的信息。阅读本文后:JSF 2.0 如何防止 CSRF

似乎在 JSF2.0 和 2.1 中有一级 CSRF 保护(仅限 web.xml)

似乎 JSF2.2 有两个级别的 CSRF 保护。(web.xml 和 faces-config 更改)

对于 JSF2.x,我可以将其添加到 web.xml。

<context-param>
    <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
    <param-value>client</param-value>
</context-param>

或使用默认 this 到 web.xml:

<context-param>
    <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
    <param-value>server</param-value>
</context-param>

我的问题是 Morjarra 2.1.3 是否使用这两种设置之一(哪一种)防止 CSRF 攻击?

我了解 JSF 2.2 CSRF 可以通过将以下代码添加到 faces-config.xml 文件中来更明确地使用此设置:

<protected-views>
    <url-pattern>/csrf_protected_page.xhtml</url-pattern>
</protected-views>
4

0 回答 0