Каковы лучшие практики CSRF-защиты сайта на базе Liferay 5.2.3? OWASP рекомендует (http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_Pattern) использовать шаблон токенов Synchronizer, но делать это вручную кажется утомительным, особенно если использовать токен совместно для нескольких портлетов.
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_Pattern
Для этого должен быть предусмотрен комплексный контейнер с портлетами, и сообщение об ошибке с сайта Liferay также, по-видимому, предполагает это. Однако я не смог найти дополнительную информацию о том, как это сделать.
Если вы используете Tomcat 6 или новее, вы можете использовать фильтр предотвращения подделки межсайтовых запросов, реализованный в классе org.apache.catalina.filters.CsrfPreventionFilter.См. Документы Apache Tomcat.Может быть, вам поможет.