我有一个基于JSF的Web应用程序,MySQL作为DB.我已经实现了代码来防止我的应用程序中出现CSRF.
现在,由于我的底层框架是JSF,我想我不必处理XSS攻击,因为它已经被处理了UIComponent.我没有在任何视图页面中使用任何JavaScript.即使我使用,我真的需要实现代码来防止XSS攻击?
UIComponent
对于DB,我们在所有数据库交互中使用预准备语句和存储过程.
是否还需要处理其他任何事情以防止这3种常见攻击?我已经通过了OWASP网站和他们的备忘单.
我是否需要处理任何其他潜在的攻击媒介?
xss jsf sql-injection csrf owasp
我正在研究我经常听到的东西,当你在JSF 2.0中进行webapp时,你已经受到了保护,不受跨文件的攻击 - 请求伪造.以下来自SO帖子的摘录证实了这一点:
在JSF 2.0中,通过使用长而强的自动生成值而不是相当可预测的序列值来改进这一点,从而使其成为强大的CSRF预防.
有人可以提供更多细节吗?这种自动生成的价值如何阻止CSRF?谢谢!
security jsf csrf-protection
jsf ×2
csrf ×1
csrf-protection ×1
owasp ×1
security ×1
sql-injection ×1
xss ×1