我正在使用JSF2.0&Richfaces3.3.3与tomcat
大多数网站和用户告诉"JSF2.0内置CSRF支持"
我如何测试"我的应用程序是否阻止CSRF攻击"
在我的应用程序中,我有一个登录页面,登录后导航到内容页面
内容页面我分为4个部分,如顶部、底部、左侧和右侧面板
我将jsp页面包含在右侧面板中(动态地),这取决于ajax请求
在我的每一个操作中,只需重新渲染到右侧面板。
帮帮我。。感谢
OWASP对这个问题有一个完整的页面答案。简而言之,您可以捕获/创建一个更新某些内容的URL(将POST更改为GET以获取参数)。然后在不在应用程序中的情况下输入该URL,看看它是否有效。如果是,则表示您没有针对CSRF/进行保护