我很困惑。 我看到JSF 2.0具有隱含的CSRF保護:根據文章http://www.oracle.com/webfolder/technetwork/tutorials/obe/java/JSF-CSRF-Demo/JSF2.2CsrfDemo.html我們應該在以下元素與JSF頁面的列表添加到faces-config.xml
文件 How JSF 2.0 prevents CSRF是否應將<protected-views>用於JSF 2.2 CSRF保護?
在另一邊。
<protected-views>
<url-pattern>/csrf_protected_page.xhtml</url-pattern>
</protected-views>
應該將<protected-views>
用於JSF 2.2 CSRF保護嗎?
什麼時候/爲什麼需要使用''來保護(在GET請求上)對CSRF的頁面? –
Tiny
@Tiny:我也想知道。 GET請求根據定義是冪等的。另見a.o. https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL – BalusC