<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Unmesh,<div>Try with the attached js file.</div><div>Thanks,</div><div>Rajesh<br><br><div><hr id="stopSpelling">Date: Tue, 6 Aug 2013 12:58:58 -0400<br>From: armyofda12mnkeys@gmail.com<br>To: owasp-csrfguard@lists.owasp.org<br>Subject: Re: [Owasp-csrfguard] Issue with IE8<br><br><div dir="ltr">Do you get this same IE8 error when you use Developer Tools in IE9 to simulate 8 via the Browser Mode/Document Mode dropdown?<div>Im only asking cause I've tested ajax requests on our site via that way for IE8 and never had issues...</div>
<div><br></div><div>my main configuration settings are:</div><div>org.owasp.csrfguard.TokenPerPage=true</div><div>org.owasp.csrfguard.Ajax=true</div><div><br></div><div><br></div><div>Also found it more dependable to have the Owasp.CsrfGuard.js file loaded via jquery onload (otherwise in my slow browser which is filled with 10-15 programming related tabs, the token isn't injected in time)... My updates for that are here if anyone interested:</div>
<div><a href="https://github.com/esheri3/OWASP-CSRFGuard/issues/27" target="_blank">https://github.com/esheri3/OWASP-CSRFGuard/issues/27</a></div><div> </div><div>-Arian</div><div><br></div><div><br><br><div class="ecxgmail_quote">On Tue, Aug 6, 2013 at 12:16 PM, P Manchanda <span dir="ltr"><<a href="mailto:manchandap@yahoo.com" target="_blank">manchandap@yahoo.com</a>></span> wrote:<br>
<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;"><div><div style="font-size:12pt;font-family:Courier New,courier,monaco,monospace,sans-serif;">Good to hear that people are working to fix this issue.<br>
<br>Else I would recommend creating a stand alone test bed that reproduces the problem and sharing it with the community. That would help to resolve the problem.<div class="ecxim"><br><div><span><br></span></div><div> </div>
<div><div><div>___________________ <br>Thks & brgds <br>P Manchanda</div><div>Mobile: <a target="_blank">+91-9811210374</a> <a rel="nofollow" href="http://geocities.com/manchandap/" target="_blank"></a><br>
</div></div></div><div><br></div>  </div><div style="font-family:Courier New,courier,monaco,monospace,sans-serif;font-size:12pt;"> <div style="font-family:times new roman,new york,times,serif;font-size:12pt;"> <div dir="ltr">
 <hr size="1">  <font face="Arial"> <b><span style="font-weight:bold;">From:</span></b> Eric Sheridan
 <<a href="mailto:eric.sheridan@owasp.org" target="_blank">eric.sheridan@owasp.org</a>><br> <b><span style="font-weight:bold;">To:</span></b> <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a> <br>
 <b><span style="font-weight:bold;">Sent:</span></b> Tuesday, 6 August 2013, 20:10<div class="ecxim"><br> <b><span style="font-weight:bold;">Subject:</span></b> Re: [Owasp-csrfguard] Issue with IE8<br> </div></font> </div><div>
<div class="h5"> <div><br>There are some folks helping to resolve this issue as we speak. I don't<br>believe the code has been committed yet but the 'HijackExplorer' code in<br>the JavaScript file messes things up now as IE has moved to<br>
XMLHTTPRequest instead of the ActiveX approach.<br><br>Sincerely,<br>Eric Sheridan<br>(twitter) @eric_sheridan<br>(blog) <a href="http://ericsheridan.blogspot.com/" target="_blank">http://ericsheridan.blogspot.com</a><br>
<br>On 8/6/13 9:19 AM, Tom Barber wrote:<br>> As I mentioned before I found that csrfguard does not work correctly<br>> with ie8 when it comes to ajax requests. <br>>
 Thanks<br>> Tom<br>> <br>> On Aug 6, 2013 9:44 AM, "Unmesh Desale" <<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a><br>> <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>>> wrote:<br>
> <br>>     Yes it is the injection of tokens into links etc… not getting any<br>>     error for ajax request. I am not able to see any CSRF token in IE8.____<br>> <br>>     __ __<br>> <br>>     *Thanks,____*<br>
> <br>>     *Unmesh Desale<br>>     **__________________________________**____*<br>> <br>>      ____<br>> <br>>     *Office:* +91 20 40754 4823  *Mobile: *<a target="_blank">+91 9657725432</a><br>
>     <tel:%2B91%209657725432>* _<br>>     <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>
>     *__________________________________**____*<br>> <br>>     __ __<br>> <br>>     __ __<br>> <br>>     *From:*Tom Barber [mailto:<a href="mailto:tom.a.barber@gmail.com" target="_blank">tom.a.barber@gmail.com</a><br>
>     <mailto:<a href="mailto:tom.a.barber@gmail.com" target="_blank">tom.a.barber@gmail.com</a>>]<br>>     *Sent:* Tuesday, August 06, 2013 1:57 PM<br>>     *To:* Unmesh Desale<br>>     *Cc:* <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>
>     <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>>; Rajesh Punjabi<br>>     *Subject:* Re: [Owasp-csrfguard] Issue with IE8____<br>> <br>>     __ __<br>
> <br>>     Is it the injection of tokens into links etc or ajax requests that<br>>     is failing? I found that xmlhttprequest injection doesn't work in<br>>     <ie9____<br>> <br>>     On Aug 6, 2013 6:34 AM, "Unmesh Desale" <<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a><br>
>     <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>>>
 wrote:____<br>> <br>>     Hi Rajesh,____<br>> <br>>      ____<br>> <br>>     Tried the below solution but it is still not able to inject the<br>>     token. Whenever I am placing one alert message in that function then<br>
>     I am able to see CRSF token in resulting html (IE8).____<br>> <br>>      ____<br>> <br>>     element.setAttribute(attr, location);____<br>> <br>>     alert('token injected:' + value);____<br>
> <br>>      ____<br>> <br>>     Below are my settings for servelet in web.xml;____<br>> <br>>      ____<br>> <br>>     _<servlet>_____<br>> <br>>                 <servlet-name>JavaScriptServlet</servlet-name>____<br>
> <br>>             
   <br>>     <servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>____<br>> <br>>                 <init-_param_>____<br>> <br>>                       <param-name>source-file</param-name>____<br>
> <br>>                      <br>>     <param-value>WEB-INF/Owasp.CsrfGuard.js</param-value>____<br>> <br>>                 </init-_param_>____<br>> <br>>                 <init-_param_>____<br>
> <br>>                       <param-name>inject-into-forms</param-name>____<br>> <br>>           
            <param-value>true</param-value>____<br>> <br>>                 </init-_param_>____<br>> <br>>                 <init-_param_>____<br>> <br>>                       <param-name>inject-into-attributes</param-name>____<br>
> <br>>                       <param-value>true</param-value>____<br>> <br>>                 </init-_param_>____<br>> <br>>                 <init-_param_>____<br>> <br>>                       <param-name>domain-strict</param-name>____<br>
> <br>>     
                  <param-value>true</param-value>____<br>> <br>>                 </init-_param_>____<br>> <br>>                 <init-_param_>____<br>> <br>>                       <param-name>_referer_-pattern</param-name>____<br>
> <br>>                       <param-value>.*_localhost_:8080.*</param-value>____<br>> <br>>                 </init-_param_>           ____<br>> <br>>     _</servlet>_____<br>> <br>
>      ____<br>> <br>>     Below are settings for CSRF Guard Properties:____<br>> <br>>     
 ____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.ConsoleLogger____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.TokenPerPage=true____<br>> <br>
>     org.owasp.csrfguard.TokenPerPagePrecreate=false____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.Ajax=true____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.unprotected.Default=/appliance____<br>
> <br>>     org.owasp.csrfguard.unprotected.JavaScriptServlet=/appliance/JavaScriptServlet____<br>> <br>>     org.owasp.csrfguard.unprotected.JavaScript=*.js____<br>> <br>>     org.owasp.csrfguard.unprotected.css=*.css____<br>
> <br>>     org.owasp.csrfguard.unprotected.html=*.html____<br>> <br>>    
 org.owasp.csrfguard.unprotected.png=*.png____<br>> <br>>     org.owasp.csrfguard.unprotected.jpg=*.jpg____<br>> <br>>     org.owasp.csrfguard.unprotected.ico=*.ico____<br>> <br>>     org.owasp.csrfguard.unprotected.gif=*.gif____<br>
> <br>>     org.owasp.csrfguard.unprotected.Tag=/tag.jsp____<br>> <br>>     org.owasp.csrfguard.unprotected.jsp=*.jsp____<br>> <br>>     org.owasp.csrfguard.unprotected.Error=/appliance/error.html____<br>
> <br>>     org.owasp.csrfguard.unprotected.Patch=/appliance/<a href="http://manage.appliance.patch.details.do" target="_blank">manage.appliance.patch.details.do</a><br>>     <<a href="http://manage.appliance.patch.details.do/" target="_blank">http://manage.appliance.patch.details.do</a>>____<br>
> <br>>     org.owasp.csrfguard.unprotected.SecurityEdit=/appliance/<a href="http://settings.appreconfig.security.edit.do" target="_blank">settings.appreconfig.security.edit.do</a><br>>     <<a href="http://settings.appreconfig.security.edit.do/" target="_blank">http://settings.appreconfig.security.edit.do</a>>____<br>
> <br>>     org.owasp.csrfguard.unprotected.launchInitConfig=/appliance/<a href="http://launch.configure.appliance.do" target="_blank">launch.configure.appliance.do</a><br>>     <<a href="http://launch.configure.appliance.do/" target="_blank">http://launch.configure.appliance.do</a>>____<br>
> <br>>      ____<br>> <br>>     org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log____<br>> <br>>     org.owasp.csrfguard.action.Log.Message=potential cross-site request<br>>     forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%,<br>
>     uri:%request_uri%, error:%exception_message%)____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect____<br>> <br>>    
 org.owasp.csrfguard.action.Redirect.Page=/appliance/error.html____<br>> <br>>     org.owasp.csrfguard.action.Rotate=org.owasp.csrfguard.action.Rotate____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.TokenName=OWASP_CSRFTOKEN____<br>
> <br>>      ____<br>> <br>>     org.owasp.csrfguard.SessionKey=OWASP_CSRFTOKEN____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>     org.owasp.csrfguard.TokenLength=32____<br>> <br>
>      ____<br>> <br>>     org.owasp.csrfguard.PRNG=SHA1PRNG____<br>> <br>>      ____<br>> <br>>     *Thanks,*____<br>> <br>>     *Unmesh Desale<br>>     **__________________________________*____<br>
> <br>>      ____<br>> <br>>     *Office:* +91
 20 40754 4823  *Mobile: *<a target="_blank">+91 9657725432</a><br>>     <tel:%2B91%209657725432>* _<br>>     <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>
>     *__________________________________*____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>     *From:*Rajesh Punjabi [mailto:<a href="mailto:rajesh_punjabi@hotmail.com" target="_blank">rajesh_punjabi@hotmail.com</a><br>
>     <mailto:<a href="mailto:rajesh_punjabi@hotmail.com" target="_blank">rajesh_punjabi@hotmail.com</a>>]<br>>     *Sent:* Monday, August 05, 2013 10:44 PM<br>>     *To:* Unmesh
 Desale; <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>>     <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>><br>
>     *Subject:* RE: [Owasp-csrfguard] Issue with IE8____<br>> <br>>      ____<br>> <br>>     I got into the same issue and here is what I wrote earlier on a<br>>     thread.____<br>> <br>>      ____<br>
> <br>>     It seems when the JavaScriptServlet injects tokens to all the<br>>     elements in the DOM, it also attaches the token to <script src=''><br>>     and <link href=''>.____<br>
> <br>>     In IE8 the browser loads all the css files and JS files twice.  This<br>>    
 seems to screw up things.____<br>> <br>>     You could try to make the INJECT_ATTRIBUTES parameter as false.____<br>> <br>>      ____<br>> <br>>     Alternatively, if you think this may break some functionality you<br>
>     desire then in the injectTokenAttribute() method I added the<br>>     following line. (more of a hack)____<br>> <br>>     if(location != null && isValidUrl(location) &&<br>>     !location.toLowerCase().endsWith(".css") &&<br>
>     !location.toLowerCase().endsWith(".js") &&<br>>     !location.toLowerCase().endsWith("javascriptservlet")) {____<br>> <br>>         var uri = parseUri(location);____<br>> <br>
>         .....................____<br>> <br>>     }____<br>> <br>>     
 ____<br>> <br>>     So basically for js, css files we shouldn't need to attach the<br>>     CSRFTOKEN attribute.____<br>> <br>>      ____<br>> <br>>     HTH____<br>> <br>>      ____<br>> <br>
>     Best,<br>>     Rajesh____<br>> <br>>      ____<br>> <br>>     ------------------------------------------------------------------------<br>> <br>>     From: <a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a> <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>><br>
>     To: <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>>    
 <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>><br>>     Date: Mon, 5 Aug 2013 05:41:03 -0700<br>>     Subject: [Owasp-csrfguard] Issue with IE8____<br>
> <br>>     Hi All,____<br>> <br>>      ____<br>> <br>>     I have configured OWASP CSRFGuard for my project. It is working fine<br>>     when I am browsing my site using Firefox Mozilla but same site<br>
>     doesn’t not work when I browse it through IE 8. This module is not<br>>     able to inject CSRF token for IE8.____<br>> <br>>      ____<br>> <br>>     Is this module works (supports) IE8 and higher versions? Is it<br>
>     cross-browser compatible?____<br>> <br>>      ____<br>> <br>>     Please
 suggest me some solution. I am in urgent need of help.____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>     *Thanks,*____<br>> <br>>     *Unmesh Desale<br>>     **__________________________________*____<br>
> <br>>      ____<br>> <br>>     *Office:* +91 20 40754 4823  *Mobile: *<a target="_blank">+91 9657725432</a><br>>     <tel:%2B91%209657725432>* _<br>
>     <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>>     *__________________________________*____<br>
> <br>>      ____<br>> <br>>      ____<br>> <br>> <br>>    
 _______________________________________________ Owasp-csrfguard<br>>     mailing list <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br>>     <mailto:<a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a>><br>
>     <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____</a><br>> <br>> <br>>     _______________________________________________<br>
>     Owasp-csrfguard mailing list<br>>     <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a> <mailto:<a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a>><br>
>     <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____</a><br>> <br>> <br>> <br>> _______________________________________________<br>
> Owasp-csrfguard mailing list<br>> <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><br>
> <br>_______________________________________________<br>Owasp-csrfguard mailing list<br><a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><br>
<br></div> </div></div></div> </div>  </div></div><br>_______________________________________________<br>
Owasp-csrfguard mailing list<br>
<a href="mailto:Owasp-csrfguard@lists.owasp.org">Owasp-csrfguard@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><br>
<br></blockquote></div><br></div></div>
<br>_______________________________________________
Owasp-csrfguard mailing list
Owasp-csrfguard@lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</div></div>                                          </div></body>
</html>