Estoy copestando la aplicación web Oracle ADF. Una de las solicitudes para eliminar algunos contenidos consiste en parámetros como _adf.ctrl-state y javax.faces.ViewState , que parecen ser números aleatorios, activos solo durante una sesión.
¿No estoy seguro de si esto evita los ataques de CSRF? Encontré algunos recursos como, por ejemplo, this , que sugieren agregar token adicional anti-CSRF.