Версия Mojarra 2.1.1 (SNAPSHOT 20110404) и выше уже защищена от CSRF? Запросы ajax также безопасны?
Спецификация говорит, что это так. Почему AJAX будет другим?