<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hey fellow OWASPians,<br><div apple-content-edited="true"><span class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px; ">Take a look at this paper by professor Sekar:</span></div><div apple-content-edited="true"><span class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px; "><br></span></div><div apple-content-edited="true"><span class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px; "><a href="http://seclab.cs.sunysb.edu/seclab/pubs/acsac11.pdf">http://seclab.cs.sunysb.edu/seclab/pubs/acsac11.pdf</a></span></div><div apple-content-edited="true"><br></div><div apple-content-edited="true">It proposes a nice method for CSRF protection of POST (and possibly PUT and DELETE) requests which works transparently and on AJAX requests.</div><div apple-content-edited="true">Please gimme feedback as whether or not I should make an OWASP tool out of this.</div><div apple-content-edited="true">-Abbas</div><div apple-content-edited="true">
<span class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px; "><div style="font-weight: normal; ">______________________________________________________________</div><b>Notice:</b> This message is <b>digitally signed</b>, its <b>source</b> and <b>integrity</b> are verifiable.<div>If you mail client does not support S/MIME verification, it will display a file (smime.p7s), which includes the X.509 certificate and the signature body.  Read more at <a href="http://abiusx.com/certified-e-mail-with-comodo-and-thunderbird/">Certified E-Mail with Comodo and Thunderbird</a> in <a href="http://AbiusX.com">AbiusX.com</a></div></span>
</div>
<br></body></html>