Как JSF 2.0 предотвращает CSRF

Я исследую материал, который регулярно слышу о том, что при создании веб-приложения в JSF 2.0 вы уже защищены от межсайтового скриптинга и подделки запросов. Следующий отрывок из сообщения SO подтверждает это:

В JSF 2.0 это было улучшено за счет использования длинного и надежного автоматически сгенерированного значения вместо довольно предсказуемого значения последовательности, что сделало его надежной защитой от CSRF.

Кто-нибудь может предоставить более подробную информацию по этому поводу? Как это автоматически созданное значение предотвращает CSRF? Спасибо!