Первый Tomcat; Докажите, что я не прав, но я думаю, что уязвимости CSRF в настоящее время не существует для самого контейнера.
Если вы беспокоитесь о любых других уязвимостях Tomcat, я бы предложил подписаться на некоторые из списков рассылки на SecurityFocus , в частности на BugTraq, и часто проверять страницу Tomcat 5 Security .
И самая важная часть: держите ваш Tomcat исправленным и актуальным.
Что касается приложения, довольно сложно сказать вам, как обезопасить ваше приложение, не зная его или не увидев код, но здесь, в OWASP Wiki , есть некоторые общие подходы, чтобы понять, избежать и протестировать CSRF уязвимости.
Другим вариантом может быть раннее принятие Tomcat 7 , в котором имеется 'CSRF Prevention Filter' . Есть также какой-то парень, который хочет перенести это в Tomcat 5/6 .