0

最近、OWASP.jar を使用して OWASP セキュリティ ソリューションを実装しました。その後、アプリケーションは IE 7 と Firefox 3.5 で正常に動作しました。ただし、このアプリケーションは Safari 4.0.5 または 5.0 では動作しません。

コンソールに次のメッセージが表示されます。

「CSRF脅威の可能性が検出されました!ログインページにリダイレクトしています..」

アプリケーションにログインできません。リクエスト自体も受け付けていません。何かアイデアがあれば、私に提案してください。Safari ブラウザの設定で何かする必要はありますか?

開発にはJavaを使用しています。

4

1 に答える 1

0

ここで OWASP CSRFGuard 2.x を参照していると仮定すると (OWASP と呼ばれるライブラリ/フレームワークはありません)、参照されているメッセージは、着信 CSRF トークンが存在しないか、期待されるもの (HttpSession に格納されているもの) と異なる場合に表示されます。物体)。トークン自体は、クライアント側のセッション Cookie を介して管理され、デフォルト名は OWASP_CSRFTOKEN です。

次の点を確認するとよいでしょう。

  1. Safari で Cookie は有効になっていますか?
  2. ブラウザは、要求ごとに (最初に設定された後) CSRF トークン Cookie をサーバーに送信していますか?
  3. サーバーは、CSRF トークンを含むセッション Cookie をクライアントに伝達しましたか? また、クライアントからサーバーに最初のリクエストが送信されたときに、サーバーは CSRF トークンを生成しますか (デフォルトでは SHA1PRNG プロバイダーを使用します)。MSIE と FF には問題がないため、これが問題になる可能性は低くなります。
于 2010-11-23T06:19:58.303 に答える