<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>Hi Azzedine,</div>
<div>Thanks a lot for your response.</div>
<div><br>
</div>
<div>Please see my response below.</div>
<div><br>
</div>
<ol>
<li>CSRFGuard version is 3.0</li><li>App server is Tomcat</li><li>Sorry, there is no screenshot that would help since it's very specific to the application</li><li>Please see the log file attached.</li></ol>
<div>Regards,</div>
<div>Raja</div>
<div><br>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Azzeddine Ramrami <<a href="mailto:azzeddine.ramrami@owasp.org">azzeddine.ramrami@owasp.org</a>><br>
<span style="font-weight:bold">Date: </span>Monday, January 27, 2014 3:23 PM<br>
<span style="font-weight:bold">To: </span>Sapient <<a href="mailto:rrajagounder3@sapient.com">rrajagounder3@sapient.com</a>><br>
<span style="font-weight:bold">Cc: </span>"<a href="mailto:owasp-csrfguard@lists.owasp.org">owasp-csrfguard@lists.owasp.org</a>" <<a href="mailto:owasp-csrfguard@lists.owasp.org">owasp-csrfguard@lists.owasp.org</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Owasp-csrfguard] Handling Browser Refresh while using CSRF Guard<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>
<div>Hi Raja,<br>
</div>
Could you give me the following:<br>
</div>
- CSRFGuard version<br>
</div>
- Witch application server you use (Jboss, WebSphere, etc.) ?<br>
</div>
- A copy of a screenshot <br>
</div>
- A log from you application server<br>
<br>
</div>
Thanks.<br>
Azzeddine<br>
<div>
<div><br>
</div>
</div>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Mon, Jan 27, 2014 at 8:40 AM, RajaManickam RajaGounder 2
<span dir="ltr"><<a href="mailto:rrajagounder3@sapient.com" target="_blank">rrajagounder3@sapient.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>
<div>Hi,</div>
<div>We have integrated CSRF Guard security framework in our project. The framework is configured to work on POST requests. It's working well and looking for some help on handling the browser refresh. </div>
<div><br>
</div>
<div>The problem description is below.</div>
<div><br>
</div>
<div>The user submits the form and there are server side validation errors. The user is forwarded back to the same page and error message is displayed at the form field. When the page is refreshed ,</div>
<div>the previous security token is sent to the server (although a new token is rendered on the page) and the request is identified as potential security threat. As a result, the user session is invalidated.</div>
<div><br>
</div>
<div>Could you please let me know the best practices around handling these scenarios?</div>
<div><br>
</div>
<div>Regards,</div>
<div>Raja</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
</div>
</div>
<br>
_______________________________________________<br>
Owasp-csrfguard mailing list<br>
<a href="mailto:Owasp-csrfguard@lists.owasp.org">Owasp-csrfguard@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfguard" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfguard</a><br>
<br>
</blockquote>
</div>
<br>
<br clear="all">
<br>
-- <br>
<div dir="ltr">
<div>Azzeddine RAMRAMI<br>
+33 6 65 48 90 04.<br>
Enterprise Security Architect<br>
OWASP Leader (Morocco Chapter)<br>
</div>
Mozilla Security Projects Mentor<br>
</div>
</div>
</div>
</div>
</span>
</body>
</html>