После реализации OWASP приложение работает в IE и Firefox, но не в Safari.

Question

Недавно мы внедрили решения безопасности OWASP с OWASP.jar. После этого наше приложение работало нормально в IE 7 и Firefox 3.5. Но приложение не работает в Safari 4.0.5 или 5.0.

Консоль показывает это сообщение:

"Обнаружена возможная угроза CSRF! Перенаправление на страницу входа .."

Я не могу войти в приложение. Даже сам запрос не принимает. Если у вас есть какие-либо идеи, пожалуйста, предложите их мне. Что мне нужно сделать с настройками браузера Safari?

Мы используем Java для разработки.

Answer 1

Предполагая, что вы ссылаетесь на OWASP CSRFGuard 2.x здесь (нет библиотеки / фреймворка с именем OWASP), упомянутое сообщение отображается, когда входящий токен CSRF отсутствует или отличается от ожидаемого (который сохраняется в объекте HttpSession). Сам токен управляется с помощью файла cookie сеанса на стороне клиента с именем по умолчанию OWASP_CSRFTOKEN.

Было бы хорошо проверить следующее:

1. Включены ли файлы cookie в Safari?
2. Передает ли браузер куки-файл токена CSRF при каждом запросе (после того, как он был изначально установлен) на сервер?
3. Передал ли сервер куки-файл сеанса, содержащий токен CSRF, клиенту? И генерирует ли сервер токен CSRF (по умолчанию использует поставщика SHA1PRNG), когда клиент отправляет серверу первый запрос? Это менее вероятно, будет проблемой, учитывая, что нет никаких проблем с MSIE и FF.