我使用CSRFtester工具测试了一个JSF应用程序,该工具没有报告任何CSRF问题。但我在“OWASP_Top_10_2007_for_JEE.pdf”中读过,所有Java EE Web应用程序框架都容易受到CSRF的攻击,有些人说我们需要为每个会话创建一个密钥并将其附加到url。通过这种方式,我们可以保护我们的JSF应用程序免受CSRF攻击。这让我很困惑。我找不到任何明确的文件。 IS JSF容易受到CSRF攻击吗?保护JSF应用程序免受CSRF攻击的正确方法是什么?请帮帮我!!
先谢谢!!
答案 0 :(得分:2)
是的,JSF容易受到CSRF的攻击。几天前我为我的JSF 1.2应用程序实现了CSRF预防令牌。
以下是您可以使用的内容:
Tomcat CSRF Prevention Filter(找到来源)
Another wonderful solution, can be easily implemented on JSF 1.2
我使用了两者的组合。效果很好。