在我的web项目中,我内置了一个csrf保护,以便在每次请求时为cookie(httpOnly)设置一个值,同时传输(通过html元数据)一个javascript调用(json)as一个http标头。在服务器上,在执行每个json请求之前,我检查cookie是否与http头中的值匹配。在所有浏览器中,除了Internet Explorer和Edge之外,保护是可靠的。在Internet Explorer和Edge上,偶尔(1000个请求中有1个)json请求不包含cookie。在客户端恢复页面并且不重新加载cookie之前,此问题仍然存在。我补充说,这个问题也发生在另一个不使用javascript的项目上,并由另一个框架(asp.net)实现。再次只有Internet Explorer和Edge。我的同事和我一起讨论了这个问题并查看了代码,她认为这个问题确实在发生。
有没有人有这个问题的经验?