JSF уже имеет встроенную защиту от CSRF скрытым полем javax.faces.ViewState, которое должно быть связано с состоянием дерева компонентов на стороне сервера.Если это скрытое поле отсутствует или содержит неправильное значение, JSF просто не будет обрабатывать запрос POST.В JSF 1.x ключ слишком легко угадать, см. Также JSF impl Issue 812 и JSF spec Issue 869 .Это исправлено в JSF 2.1.
Ваша главная проблема должна быть XSS .Успешная атака XSS может стать источником гарантированной успешной атаки CSRF.Чтобы избежать XSS, убедитесь, что вы не отображаете ввод, управляемый пользователем, с помощью <h:outputText escape="false" />.Кроме этого, JSF уже по умолчанию экранирует сущности HTML.