最近我们使用 OWASP.jar 实现了 OWASP 安全解决方案。在此之后,我们的应用程序在 IE 7 和 Firefox 3.5 中运行良好。但该应用程序无法在 Safari 4.0.5 或 5.0 中运行。
控制台显示此消息:
“检测到可能的 CSRF 威胁!重定向到登录页面..”
我无法登录应用程序。甚至请求本身也没有接受。如果您有任何想法,请向我提出建议。我需要对 Safari 浏览器的设置做些什么吗?
我们正在使用 Java 进行开发。
问问题
999 次
1 回答
0
假设您在这里指的是 OWASP CSRFGuard 2.x(没有称为 OWASP 的库/框架),当传入的 CSRF 令牌不存在或不同于预期的令牌(存储在 HttpSession目的)。令牌本身通过客户端的会话 cookie 进行管理,默认名称为 OWASP_CSRFTOKEN。
检查以下内容将是一件好事:
- Safari 中是否启用了 cookie?
- 浏览器是否在每个请求(在初始设置之后)将 CSRF 令牌 cookie 传输到服务器?
- 服务器是否已将包含 CSRF 令牌的会话 cookie 传送给客户端?而且,当客户端向服务器提交第一个请求时,服务器是否会生成 CSRF 令牌(默认使用 SHA1PRNG 提供程序)?这不太可能成为问题,因为 MSIE 和 FF 没有问题。
于 2010-11-23T06:19:58.303 回答