打开新选项卡时使用JSF受保护视图时出错

Question

我已经设置了我的web应用程序，通过在faces-config，protected views中列出单独的页面来防止CSRF攻击。

这在本地运行时效果很好，但在部署到服务器后，打开页面链接时最终会出现以下错误：

javax.faces.application.ProtectedViewException: JSF1099: Referer [sic] header value http://[redacted]/finance/commitmentregister/search.xhtml?javax.faces.Token=1534344211116 does not appear to be a protected view. Preventing display of viewId /finance/commitmentregister/view.xhtml
at com.sun.faces.lifecycle.RestoreViewPhase.maybeTakeProtectedViewAction(Unknown Source)
at com.sun.faces.lifecycle.RestoreViewPhase.execute(Unknown Source)
at com.sun.faces.lifecycle.Phase.doPhase(Unknown Source)
at com.sun.faces.lifecycle.RestoreViewPhase.doPhase(Unknown Source)
at com.sun.faces.lifecycle.LifecycleImpl.execute(Unknown Source)

我们在本地和测试服务器上运行Apache Tomcat7。

编辑：

我注意到在链接上生成的url如下所示：

http://.../page.xhtml?token=123&p=4

其中javax.faces.Token是CSRF令牌，p是发送的url参数。

错误消息显示了带有令牌但没有p的url，就像它期望带有令牌的url是faces-config中列出的受保护页面url一样。

也就是说，faces-config具有：

<protected-views>
  <url-pattern>/page.xhtml</url-pattern>
</protected-views>

但它期望的是page.xhtml?token=123

进一步编辑：

我们刚刚注意到，只有在新选项卡中打开页面时，才会发生此错误。带有用target="_blank“属性生成的链接。将url复制到剪贴板中并将其粘贴到新的选项卡地址栏中可正确加载页面。

Answer 1

注意到它只在新的选项卡上崩溃，这给了我更多的信息来研究这个问题。

将这个添加到链接中可以解决这个问题：

rel="noopener noreferrer"