Tengo una aplicación web construida en JSF con MySQL como DB. Ya he implementado el código para evitar CSRF en mi aplicación.

Ahora, dado que mi marco subyacente es JSF, supongo que no tengo que manejar el ataque XSS ya que @ ya lo manejaUIComponent. No estoy usando JavaScript en ninguna de las páginas de vista. Incluso si lo uso, ¿realmente necesito implementar código para evitar ataques XSS?

Para DB, estamos usando declaraciones preparadas y procedimientos almacenados en todas las interacciones de DB.

¿Hay algo más que deba manejarse para prevenir estos 3 ataques comunes? Ya he pasado por el OWASP sitio y suhojas de truco.

Debo ocuparme de otros posibles vectores de ataque?