ConfluenceのプラグインでXWork/WebWork2の仕組みを使ってプログラムを書く(3) - tohokuaikiのチラシの裏でもちらっと書いたけど、トークン、あるいはチケットといわれるものの埋め込みですね。
参考資料はこちら。CSRF対策なんだからActionクラス使うよねっていう前提で。
Form Token Handling - Confluence Development - Atlassian Developer Documentation
テンプレート側
フォーム
Injectionされそうな遷移画面のフォームに
#form_xsrfToken()
マクロを入れる。
リンク
リンクの場合は、
<a href="myaction.action?activate=true&#url_xsrfToken()">アクションする先</a>
というようにする。
atlassian-plugin.xml
Validatorの一種なので、
<interceptor-ref name="validatingStack"/>
をactionに忘れないようにつけておく。