Как лучше всего защитить наше приложение Spring MVC от CSRF и XSS.
Есть ли для этого встроенная поддержка Spring MVC?
Весной:
Формы (глобально):
<context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-value> </context-param>
Формы (локально):
<spring:htmlEscape defaultHtmlEscape="true" />
Вы можете использовать Spring Security 3.2.0.RELEASE и включить поддержку csrf с этой конфигурацией
<http> <!-- ... --> <csrf /> </http>
Вот блог об этом.
http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html
еще один.
http://web.securityinnovation.com/appsec-weekly/blog/bid/79007/How-to-Prevent-Cross-Site-Request-Forgery-CSRF-in-SpringMVC
Для генерации токенов можно использовать esapi,https://code.google.com/p/owasp-esapi-java/