實現OWASP後，應用程序在IE和Firefox中運行，但不是Safari

Question

最近我們使用OWASP.jar實現了OWASP安全解決方案。之後，我們的應用程序在IE 7和Firefox 3.5中運行良好。但是該應用程序在Safari 4.0.5或5.0中不起作用。

控制檯顯示此消息：「檢測到可能的CSRF威脅重定向到登錄頁面。」

我無法登錄到應用程序。即使這個請求本身沒有采取。 如果您有任何想法，請將它們推薦給我。有什麼我需要做的Safari瀏覽器的設置？

我們正在使用Java進行開發。

Answer 1

假設您在這裏指的是OWASP CSRFGuard 2.x（沒有名爲OWASP的庫/框架），當傳入的CSRF標記缺失或與期望的不同時顯示所引用的消息存儲在HttpSession對象中）。令牌本身通過客戶端的會話cookie進行管理，默認名稱爲OWASP_CSRFTOKEN。

這將是檢查的一個很好的事情：

1. 在Safari中是否啓用了餅乾？
2. 瀏覽器是否在每次請求（在初始設置後）向服務器發送CSRF令牌cookie？
3. 服務器是否已將包含CSRF令牌的會話cookie傳送給客戶端？並且，當客戶端向服務器提交第一個請求時，服務器是否生成CSRF令牌（默認情況下使用SHA1PRNG提供程序）？考慮到MSIE和FF沒有問題，這不太可能是一個問題。