Estoy copestando la aplicación web Oracle ADF. Una de las solicitudes para eliminar algunos contenidos consiste en parámetros como _adf.ctrl-state
y javax.faces.ViewState
, que parecen ser números aleatorios, activos solo durante una sesión.
¿No estoy seguro de si esto evita los ataques de CSRF? Encontré algunos recursos como, por ejemplo, this , que sugieren agregar token adicional anti-CSRF.