<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks Rajesh…. I tried your script. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>This script is able to inject CSRF token in page rendered in IE8 but it is not able to send the same token in AJAX as well as <b>simple POST request</b>.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I am not even able to login to the site in IE 8 and same configurations/settings (scripts) are working perfectly fine in Mozilla Firefox 22.0.                                                                                                                                                                                                                                <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks Arian…..<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>But in our project we are not using JQuery... </span><span style='font-size:11.0pt;font-family:Wingdings;color:#1F497D'>L</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'>Thanks,<o:p></o:p></span></b></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'>Unmesh Desale<br></span></b><b><u><span lang=EN style='font-size:10.0pt;font-family:"Arial","sans-serif";color:gray'>________________________________</span></u></b><b><span lang=EN style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></b></p><p class=MsoNormal><span lang=EN style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> <o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'>Office:</span></b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'> +91 20 40754 4823  <b>Mobile: </b>+91 9657725432<b>  <u><br></u>unmesh_desale@symantec.com</b></span><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'><br></span><b><u><span lang=EN style='font-size:10.0pt;font-family:"Arial","sans-serif";color:gray'>________________________________</span></u></b><b><span lang=EN style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p></div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-csrfguard-bounces@lists.owasp.org [mailto:owasp-csrfguard-bounces@lists.owasp.org] <b>On Behalf Of </b>Rajesh Punjabi<br><b>Sent:</b> Tuesday, August 06, 2013 11:39 PM<br><b>To:</b> Arian; owasp-csrfguard@lists.owasp.org<br><b>Subject:</b> Re: [Owasp-csrfguard] Issue with IE8<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Unmesh,<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Try with the attached js file.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Thanks,<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Calibri","sans-serif"'>Rajesh<o:p></o:p></span></p><div><div class=MsoNormal align=center style='text-align:center'><span style='font-family:"Calibri","sans-serif"'><hr size=2 width="100%" align=center id=stopSpelling></span></div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Calibri","sans-serif"'>Date: Tue, 6 Aug 2013 12:58:58 -0400<br>From: armyofda12mnkeys@gmail.com<br>To: owasp-csrfguard@lists.owasp.org<br>Subject: Re: [Owasp-csrfguard] Issue with IE8<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Do you get this same IE8 error when you use Developer Tools in IE9 to simulate 8 via the Browser Mode/Document Mode dropdown?<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Im only asking cause I've tested ajax requests on our site via that way for IE8 and never had issues...<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>my main configuration settings are:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>org.owasp.csrfguard.TokenPerPage=true<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>org.owasp.csrfguard.Ajax=true<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Also found it more dependable to have the Owasp.CsrfGuard.js file loaded via jquery onload (otherwise in my slow browser which is filled with 10-15 programming related tabs, the token isn't injected in time)... My updates for that are here if anyone interested:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><a href="https://github.com/esheri3/OWASP-CSRFGuard/issues/27" target="_blank">https://github.com/esheri3/OWASP-CSRFGuard/issues/27</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'> <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>-Arian<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>On Tue, Aug 6, 2013 at 12:16 PM, P Manchanda <<a href="mailto:manchandap@yahoo.com" target="_blank">manchandap@yahoo.com</a>> wrote:<o:p></o:p></span></p><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Good to hear that people are working to fix this issue.<br><br>Else I would recommend creating a stand alone test bed that reproduces the problem and sharing it with the community. That would help to resolve the problem.<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'> <o:p></o:p></span></p></div><div><div><div><p class=MsoNormal><span style='font-family:"Courier New"'>___________________ <br>Thks & brgds <br>P Manchanda<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Courier New"'>Mobile: +91-9811210374 <o:p></o:p></span></p></div></div></div><div><p class=MsoNormal><span style='font-family:"Courier New"'><o:p> </o:p></span></p></div></div><div><div><div><div class=MsoNormal align=center style='text-align:center'><hr size=1 width="100%" align=center></div><p class=MsoNormal><b><span style='font-family:"Arial","sans-serif"'>From:</span></b><span style='font-family:"Arial","sans-serif"'> Eric Sheridan <<a href="mailto:eric.sheridan@owasp.org" target="_blank">eric.sheridan@owasp.org</a>><br><b>To:</b> <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a> <br><b>Sent:</b> Tuesday, 6 August 2013, 20:10<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Arial","sans-serif"'><br><b>Subject:</b> Re: [Owasp-csrfguard] Issue with IE8<o:p></o:p></span></p></div></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>There are some folks helping to resolve this issue as we speak. I don't<br>believe the code has been committed yet but the 'HijackExplorer' code in<br>the JavaScript file messes things up now as IE has moved to<br>XMLHTTPRequest instead of the ActiveX approach.<br><br>Sincerely,<br>Eric Sheridan<br>(twitter) @eric_sheridan<br>(blog) <a href="http://ericsheridan.blogspot.com/" target="_blank">http://ericsheridan.blogspot.com</a><br><br>On 8/6/13 9:19 AM, Tom Barber wrote:<br>> As I mentioned before I found that csrfguard does not work correctly<br>> with ie8 when it comes to ajax requests. <br>> Thanks<br>> Tom<br>> <br>> On Aug 6, 2013 9:44 AM, "Unmesh Desale" <<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a><br>> <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>>> wrote:<br>> <br>>    Yes it is the injection of tokens into links etc… not getting any<br>>    error for ajax request. I am not able to see any CSRF token in IE8.____<br>> <br>>    __ __<br>> <br>>    *Thanks,____*<br>> <br>>    *Unmesh Desale<br>>    **__________________________________**____*<br>> <br>>      ____<br>> <br>>    *Office:* +91 20 40754 4823  *Mobile: *+91 9657725432<br>>    <tel:%2B91%209657725432>* _<br>>    <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>>    *__________________________________**____*<br>> <br>>    __ __<br>> <br>>    __ __<br>> <br>>    *From:*Tom Barber [mailto:<a href="mailto:tom.a.barber@gmail.com" target="_blank">tom.a.barber@gmail.com</a><br>>    <mailto:<a href="mailto:tom.a.barber@gmail.com" target="_blank">tom.a.barber@gmail.com</a>>]<br>>    *Sent:* Tuesday, August 06, 2013 1:57 PM<br>>    *To:* Unmesh Desale<br>>    *Cc:* <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>>    <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>>; Rajesh Punjabi<br>>    *Subject:* Re: [Owasp-csrfguard] Issue with IE8____<br>> <br>>    __ __<br>> <br>>    Is it the injection of tokens into links etc or ajax requests that<br>>    is failing? I found that xmlhttprequest injection doesn't work in<br>>    <ie9____<br>> <br>>    On Aug 6, 2013 6:34 AM, "Unmesh Desale" <<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a><br>>    <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>>> wrote:____<br>> <br>>    Hi Rajesh,____<br>> <br>>      ____<br>> <br>>    Tried the below solution but it is still not able to inject the<br>>    token. Whenever I am placing one alert message in that function then<br>>    I am able to see CRSF token in resulting html (IE8).____<br>> <br>>      ____<br>> <br>>    element.setAttribute(attr, location);____<br>> <br>>    alert('token injected:' + value);____<br>> <br>>      ____<br>> <br>>    Below are my settings for servelet in web.xml;____<br>> <br>>      ____<br>> <br>>    _<servlet>_____<br>> <br>>                <servlet-name>JavaScriptServlet</servlet-name>____<br>> <br>>                <br>>    <servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>____<br>> <br>>                <init-_param_>____<br>> <br>>                      <param-name>source-file</param-name>____<br>> <br>>                      <br>>    <param-value>WEB-INF/Owasp.CsrfGuard.js</param-value>____<br>> <br>>                </init-_param_>____<br>> <br>>                <init-_param_>____<br>> <br>>                      <param-name>inject-into-forms</param-name>____<br>> <br>>                      <param-value>true</param-value>____<br>> <br>>                </init-_param_>____<br>> <br>>                <init-_param_>____<br>> <br>>                      <param-name>inject-into-attributes</param-name>____<br>> <br>>                      <param-value>true</param-value>____<br>> <br>>                </init-_param_>____<br>> <br>>                <init-_param_>____<br>> <br>>                      <param-name>domain-strict</param-name>____<br>> <br>>                      <param-value>true</param-value>____<br>> <br>>                </init-_param_>____<br>> <br>>                <init-_param_>____<br>> <br>>                      <param-name>_referer_-pattern</param-name>____<br>> <br>>                      <param-value>.*_localhost_:8080.*</param-value>____<br>> <br>>                </init-_param_>          ____<br>> <br>>    _</servlet>_____<br>> <br>>      ____<br>> <br>>    Below are settings for CSRF Guard Properties:____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.ConsoleLogger____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.TokenPerPage=true____<br>> <br>>    org.owasp.csrfguard.TokenPerPagePrecreate=false____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.Ajax=true____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.unprotected.Default=/appliance____<br>> <br>>    org.owasp.csrfguard.unprotected.JavaScriptServlet=/appliance/JavaScriptServlet____<br>> <br>>    org.owasp.csrfguard.unprotected.JavaScript=*.js____<br>> <br>>    org.owasp.csrfguard.unprotected.css=*.css____<br>> <br>>    org.owasp.csrfguard.unprotected.html=*.html____<br>> <br>>    org.owasp.csrfguard.unprotected.png=*.png____<br>> <br>>    org.owasp.csrfguard.unprotected.jpg=*.jpg____<br>> <br>>    org.owasp.csrfguard.unprotected.ico=*.ico____<br>> <br>>    org.owasp.csrfguard.unprotected.gif=*.gif____<br>> <br>>    org.owasp.csrfguard.unprotected.Tag=/tag.jsp____<br>> <br>>    org.owasp.csrfguard.unprotected.jsp=*.jsp____<br>> <br>>    org.owasp.csrfguard.unprotected.Error=/appliance/error.html____<br>> <br>>    org.owasp.csrfguard.unprotected.Patch=/appliance/<a href="http://manage.appliance.patch.details.do" target="_blank">manage.appliance.patch.details.do</a><br>>    <<a href="http://manage.appliance.patch.details.do/" target="_blank">http://manage.appliance.patch.details.do</a>>____<br>> <br>>    org.owasp.csrfguard.unprotected.SecurityEdit=/appliance/<a href="http://settings.appreconfig.security.edit.do" target="_blank">settings.appreconfig.security.edit.do</a><br>>    <<a href="http://settings.appreconfig.security.edit.do/" target="_blank">http://settings.appreconfig.security.edit.do</a>>____<br>> <br>>    org.owasp.csrfguard.unprotected.launchInitConfig=/appliance/<a href="http://launch.configure.appliance.do" target="_blank">launch.configure.appliance.do</a><br>>    <<a href="http://launch.configure.appliance.do/" target="_blank">http://launch.configure.appliance.do</a>>____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log____<br>> <br>>    org.owasp.csrfguard.action.Log.Message=potential cross-site request<br>>    forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%,<br>>    uri:%request_uri%, error:%exception_message%)____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect____<br>> <br>>    org.owasp.csrfguard.action.Redirect.Page=/appliance/error.html____<br>> <br>>    org.owasp.csrfguard.action.Rotate=org.owasp.csrfguard.action.Rotate____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.TokenName=OWASP_CSRFTOKEN____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.SessionKey=OWASP_CSRFTOKEN____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.TokenLength=32____<br>> <br>>      ____<br>> <br>>    org.owasp.csrfguard.PRNG=SHA1PRNG____<br>> <br>>      ____<br>> <br>>    *Thanks,*____<br>> <br>>    *Unmesh Desale<br>>    **__________________________________*____<br>> <br>>      ____<br>> <br>>    *Office:* +91 20 40754 4823  *Mobile: *+91 9657725432<br>>    <tel:%2B91%209657725432>* _<br>>    <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>>    *__________________________________*____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>    *From:*Rajesh Punjabi [mailto:<a href="mailto:rajesh_punjabi@hotmail.com" target="_blank">rajesh_punjabi@hotmail.com</a><br>>    <mailto:<a href="mailto:rajesh_punjabi@hotmail.com" target="_blank">rajesh_punjabi@hotmail.com</a>>]<br>>    *Sent:* Monday, August 05, 2013 10:44 PM<br>>    *To:* Unmesh Desale; <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>>    <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>><br>>    *Subject:* RE: [Owasp-csrfguard] Issue with IE8____<br>> <br>>      ____<br>> <br>>    I got into the same issue and here is what I wrote earlier on a<br>>    thread.____<br>> <br>>      ____<br>> <br>>    It seems when the JavaScriptServlet injects tokens to all the<br>>    elements in the DOM, it also attaches the token to <script src=''><br>>    and <link href=''>.____<br>> <br>>    In IE8 the browser loads all the css files and JS files twice.  This<br>>    seems to screw up things.____<br>> <br>>    You could try to make the INJECT_ATTRIBUTES parameter as false.____<br>> <br>>      ____<br>> <br>>    Alternatively, if you think this may break some functionality you<br>>    desire then in the injectTokenAttribute() method I added the<br>>    following line. (more of a hack)____<br>> <br>>    if(location != null && isValidUrl(location) &&<br>>    !location.toLowerCase().endsWith(".css") &&<br>>    !location.toLowerCase().endsWith(".js") &&<br>>    !location.toLowerCase().endsWith("javascriptservlet")) {____<br>> <br>>        var uri = parseUri(location);____<br>> <br>>        .....................____<br>> <br>>    }____<br>> <br>>      ____<br>> <br>>    So basically for js, css files we shouldn't need to attach the<br>>    CSRFTOKEN attribute.____<br>> <br>>      ____<br>> <br>>    HTH____<br>> <br>>      ____<br>> <br>>    Best,<br>>    Rajesh____<br>> <br>>      ____<br>> <br>>    ------------------------------------------------------------------------<br>> <br>>    From: <a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a> <mailto:<a href="mailto:Unmesh_Desale@symantec.com" target="_blank">Unmesh_Desale@symantec.com</a>><br>>    To: <a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a><br>>    <mailto:<a href="mailto:owasp-csrfguard@lists.owasp.org" target="_blank">owasp-csrfguard@lists.owasp.org</a>><br>>    Date: Mon, 5 Aug 2013 05:41:03 -0700<br>>    Subject: [Owasp-csrfguard] Issue with IE8____<br>> <br>>    Hi All,____<br>> <br>>      ____<br>> <br>>    I have configured OWASP CSRFGuard for my project. It is working fine<br>>    when I am browsing my site using Firefox Mozilla but same site<br>>    doesn’t not work when I browse it through IE 8. This module is not<br>>    able to inject CSRF token for IE8.____<br>> <br>>      ____<br>> <br>>    Is this module works (supports) IE8 and higher versions? Is it<br>>    cross-browser compatible?____<br>> <br>>      ____<br>> <br>>    Please suggest me some solution. I am in urgent need of help.____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>>    *Thanks,*____<br>> <br>>    *Unmesh Desale<br>>    **__________________________________*____<br>> <br>>      ____<br>> <br>>    *Office:* +91 20 40754 4823  *Mobile: *+91 9657725432<br>>    <tel:%2B91%209657725432>* _<br>>    <a href="mailto:_unmesh_desale@symantec.com" target="_blank">_unmesh_desale@symantec.com</a> <mailto:<a href="mailto:unmesh_desale@symantec.com" target="_blank">unmesh_desale@symantec.com</a>>*<br>>    *__________________________________*____<br>> <br>>      ____<br>> <br>>      ____<br>> <br>> <br>>    _______________________________________________ Owasp-csrfguard<br>>    mailing list <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br>>    <mailto:<a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a>><br>>    <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____</a><br>> <br>> <br>>    _______________________________________________<br>>    Owasp-csrfguard mailing list<br>>    <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a> <mailto:<a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a>><br>>    <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard____</a><br>> <br>> <br>> <br>> _______________________________________________<br>> Owasp-csrfguard mailing list<br>> <a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><br>> <br>_______________________________________________<br>Owasp-csrfguard mailing list<br><a href="mailto:Owasp-csrfguard@lists.owasp.org" target="_blank">Owasp-csrfguard@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><o:p></o:p></p></div></div></div></div></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Calibri","sans-serif"'><br>_______________________________________________<br>Owasp-csrfguard mailing list<br><a href="mailto:Owasp-csrfguard@lists.owasp.org">Owasp-csrfguard@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><o:p></o:p></span></p></div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p> </o:p></span></p></div></div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><br>_______________________________________________ Owasp-csrfguard mailing list Owasp-csrfguard@lists.owasp.org https://lists.owasp.org/mailman/listinfo/owasp-csrfguard<o:p></o:p></span></p></div></div></div></div></body></html>