Есть ли в JSF1.2 встроенная защита CSRF?

Question

Есть ли в JSF1.2 встроенная защита CSRF?

Я протестировал приложение JSF с помощью инструмента CSRFtester, и инструмент не сообщил о каких-либо проблемах CSRF. Но я прочитал в "OWASP_Top_10_2007_for_JEE.pdf", что все платформы веб-приложений Java EE уязвимы для CSRF, а также некоторые говорят, что нам нужно создать секретный ключ для каждого сеанса и добавить его к URL-адресу. Таким образом мы можем защитить наше приложение JSF от CSRF-атаки. Это меня смущает. Я не могу найти четкую документацию. Является ли JSF уязвимым для атаки CSRF? Как правильно защитить приложение JSF от CSRF-атак? Пожалуйста, помогите мне!

Заранее спасибо!!

2

security jsf csrf

Источник

user421280 22 окт '10 в 13:07

1 ответ

Другие вопросы по тегам security jsf csrf

user825068 02 июл '11 в 20:06 2011-07-02 20:06 · Answer 1 · 2011-07-02 20:06

Да, JSF уязвима для CSRF. Я применил маркер предотвращения CSRF для своего приложения JSF 1.2 всего несколько дней назад.

Вот что вы можете использовать:

Tomcat CSRF Prevention Filter (найти источник)

Еще одно замечательное решение, может быть легко реализовано на JSF 1.2

Я использовал комбинацию из двух. Работает хорошо.