我正在使用OWASP来防止我的应用程序出现信息泄漏。但这不能按预期正常工作。
我登录了我的应用程序并对应用程序中的选项卡进行了一些随机点击。然后我清除了网络浏览器的历史记录和cookie。当我点击任何标签后,我会得到一个弹出屏幕,说会话过期请再次登录,当我点击“确定”时它会重定向到登录界面按钮(直到它工作正常)。但是当我再次登录并在删除cookie后单击上一个会话中使用的选项卡时,我收到错误“跨站点请求伪造(CSRF)攻击......”(这很奇怪)。如果点击任何其他选项卡我没有收到任何错误,它可以正常工作
这是我的OWASP.properties文件的片段: -
#org.owasp.csrfguard.action.Empty=org.owasp.csrfguard.action.Empty
org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log
org.owasp.csrfguard.action.Log.Message=potential cross-site request forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%, uri:%request_uri%, error:%exception_message%)
#org.owasp.csrfguard.action.Invalidate=org.owasp.csrfguard.action.Invalidate
org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect
org.owasp.csrfguard.action.Redirect.Page=/ourUI/csrfError.jsp
#org.owasp.csrfguard.action.Redirect.Page=/OLDUI/error/error.jsp
#org.owasp.csrfguard.action.RequestAttribute=org.owasp.csrfguard.action.RequestAttribute
#org.owasp.csrfguard.action.RequestAttribute.AttributeName=errMsg
org.owasp.csrfguard.action.Rotate=org.owasp.csrfguard.action.Rotate
#org.owasp.csrfguard.action.SessionAttribute=org.owasp.csrfguard.action.SessionAttribute
#org.owasp.csrfguard.action.SessionAttribute.AttributeName=Owasp_CsrfGuard_Exception_Key
我已取消注释以下行并检查 org.owasp.csrfguard.action.Invalidate = org.owasp.csrfguard.action.Invalidate
这次我在第一次点击我在上次会话中使用的选项卡时遇到错误(按照上面的相同步骤)第二次启动它运行正常。任何人都可以帮助找到为什么我得到这个错误?我是否需要对此文件进行任何其他更改?