我的理解是,JSF最初对POST请求采用隐式CSRF对策,即javax.faces.ViewState。如果坏人推断或破坏javax.faces.ViewState值,则JSF无法恢复组件树并抛出ViewExpiredException。
JSF 2.2引入了无状态视图。
我注意到如果我将HTML中javax.faces.ViewState的隐藏值修改为stateless,JSF会默默地接受该值并将其作为无状态模式运行。
这是否意味着JSF 2.2中丢失了源自javax.faces.ViewState的CSRF的隐含容差?
或者我误解了什么?