实现OWASP后，应用程序可以在IE和Firefox中运行，但不适用于Safari

Question

最近，我们使用OWASP.jar实施了OWASP安全解决方案。在此之后，我们的应用程序在IE 7和Firefox 3.5中运行良好。但该应用程序无法在Safari 4.0.5或5.0中运行。

控制台显示以下消息：

  

＆＃34;检测到可能的CSRF威胁！重定向到登录页面。＆＃34;

我无法登录该应用程序。即使是请求本身也没有采取。 如果您有任何想法，请向我推荐。我需要对Safari浏览器的设置做些什么吗？

我们正在使用Java进行开发。

Answer 1

假设您在这里指的是OWASP CSRFGuard 2.x（没有名为OWASP的库/框架），当传入的CSRF令牌不存在或与预期的CSRF令牌不同（存储时）时，会显示所引用的消息在HttpSession对象中）。令牌本身通过客户端的会话cookie进行管理，默认名称为OWASP_CSRFTOKEN。

检查以下内容是一件好事：

1. Safari中是否启用了Cookie？
2. 浏览器是否在每次请求时（在最初设置之后）向服务器发送CSRF令牌cookie？
3. 服务器是否已将包含CSRF令牌的会话cookie传送给客户端？并且，当客户端向服务器提交第一个请求时，服务器是否生成CSRF令牌（默认情况下使用SHA1PRNG提供程序）？考虑到MSIE和FF没有问题，这不太可能成为问题。