Sto eseguendo il pentesting di un'applicazione web Oracle ADF. Una delle richieste di eliminazione di alcuni contenuti è costituita da parametri come _adf.ctrl-state e javax.faces.ViewState , che sembrano numeri casuali, attivi solo durante una sessione.
Non sono sicuro che ciò impedisca la forma di attacchi CSRF? Ho trovato alcune risorse come ad esempio questo , che suggeriscono di aggiungere token anti-CSRF adizionale.