JSFにおけるXSS、XSRF対策

JSFでセキリュリティ対策がどこまで実現出来ているか気になったのでメモ。

以下の通りXSS対策はデフォルトでできている。例外がどこまであるかは要確認。
*1

JSF の場合は、エスケープを指定するタグの属性は escape です。ここでも、 タグや タグに対して、デフォルトで true の値が設定されています。

XSRFについては、以下の通り。
*2

*1:https://developer.salesforce.com/page/JP:Secure_Coding_Cross_Site_Scripting

*2:http://www.oracle.com/goto/newsletters/javadev/0311/blog_eisele_csrf.html