Descubrí que el alcance JSF 2.0 Flash se implementa en Mojarra 2.x a través de una cookie. Lo que parece suceder es que al navegar de la vista A a la vista B usando The Flash, JSF envía una respuesta de redireccionamiento. Es esta misma respuesta la que contiene el encabezado set-cookie.

Como las cookies son globales para el navegador, me pregunto qué posibilidades hay de que esto conduzca a una condición de carrera. Como la cookie se configura durante la respuesta de redireccionamiento, traté de encontrar si la especificación HTTP de alguna manera garantiza que la solicitud que el navegador emite en respuesta sea siempre la primera en utilizar esta cookie.

En general, sin embargo, aún podría haber un problema si esta primera solicitud está de alguna manera estancada (ya que Internet decidió enrutar esa solicitud en particular al otro lado del mundo), y luego una segunda solicitud que se origina en otra pestaña llega primero al servidor. @

¿No es una cookie una idea terrible de usar para un alcance flash entre dos páginas, o estoy pasando por alto algo y es perfectamente seguro?