我似乎在网上研究混合信息。阅读完本后:How JSF 2.0 prevents CSRF
似乎JSF2.0中有一个级别的CSRF保护& 2.1(仅限web.xml)
似乎JSF2.2有两个级别的CSRF保护。 (web.xml和faces-config更改)
对于JSF2.x,我可以将其添加到web.xml。
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>client</param-value>
</context-param>
或使用默认设置为web.xml:
<context-param>
<param-name>javax.faces.STATE_SAVING_METHOD</param-name>
<param-value>server</param-value>
</context-param>
我的问题是Morjarra 2.1.3是否使用这两种设置中的一种(哪一种)来阻止CSRF攻击?
我理解JSF 2.2通过将以下代码添加到faces-config.xml文件中,CSRF可以更明确地使用此设置:
<protected-views>
<url-pattern>/csrf_protected_page.xhtml</url-pattern>
</protected-views>