Ho notato che il contenitore del portlet WebSphere genera URL di azione contenenti un ID, che sembrano cambiare ogni volta che ricarico la pagina. Solitamente gli URL di azione vengono utilizzati come obiettivi di invio dei moduli.
Esempi:
Richiesta 1: / dl5 / d5 / L2dBISEvZ0FBIS9nQSEh / pw / Z7_69901941IO5OB0AMECLLL52F05 / act / id = efQFBpph1jtCw / 330849354665 / = / # Z7_69901941IO5OB0AMECLLL52F05
Richiesta 2: / dl5 / d5 / L2dBISEvZ0FBIS9nQSEh / pw / Z7_69901941IO5OB0AMECLLL52F05 / act / id = igQFBpph1jtBg / 330849315800 / = / # Z7_69901941IO5OB0AMECLLL52F05
Se non esiste un modo per dedurre questo ID e viene generato un nuovo ID per ogni richiesta di rendering, le richieste di azioni del portlet dovrebbero essere protette da CSRF per impostazione predefinita.
Il mio problema è che questa è solo un'osservazione. Non sono riuscito a trovare nulla su ciò che questi URL contengono o se l'ID funge da token CSRF.