我正在研究我经常听到的东西,当你在JSF 2.0中进行webapp时,你已经受到了保护,不受跨文件的攻击 - 请求伪造.以下来自SO帖子的摘录证实了这一点:
在JSF 2.0中,通过使用长而强的自动生成值而不是相当可预测的序列值来改进这一点,从而使其成为强大的CSRF预防.
有人可以提供更多细节吗?这种自动生成的价值如何阻止CSRF?谢谢!
security jsf csrf-protection
csrf-protection ×1
jsf ×1
security ×1