<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>What if we keep a list of specific urls for which developer want to check for CSRF validation in GET requests, this would create no false positive or false negative. As GET requests to only certain urls can be vulnerable. If developer can identify this, we can map every host url in request, with list the developer has maintained and provide validation for those only. But this will complicate the logic to certain extend, but we can implement this!</div>
<div><br></div><div><br></div><div>Great idea, I like it.</div><div>- Jim</div><div><br></div><div><br></div><blockquote type="cite"><div dir="ltr">

<div><div><div dir="ltr"><div><br></div><font face="courier new, monospace" color="#444444">Minhaz, </font><div><font face="courier new, monospace" color="#444444"><a href="http://minhaz.cistoner.org" target="_blank">minhaz.cistoner.org</a> || <a href="http://cistoner.org" target="_blank">cistoner.org</a></font></div>


</div></div>
</div></div>
</blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-csrfprotector mailing list</span><br><span><a href="mailto:Owasp-csrfprotector@lists.owasp.org">Owasp-csrfprotector@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfprotector">https://lists.owasp.org/mailman/listinfo/owasp-csrfprotector</a></span><br></div></blockquote></body></html>