Защита от CSRF атак через дополнительный токен в формах
Что такое атака CSRF
CSRF (англ. cross-site request forgery — «межсайтовая подделка запроса», также известна как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Как настроить в формах
Если указать в форме дополнительный столбец csrftoken типа hidden, то система будет подставлять в него определенное значение в GetItem и проверять его в SaveItem.
Элемент хранится в кеше какое-то время (количество минут в настройке csrftokenLifeTime, по умолчанию 15 минут).
Подобная форма позволит выполнить действие только в случае, если форма была подготовлена сервером (а не злоумышленником) и совсем недавно.
Google поиск по нашей документации
- Руководства
- Основа Falcon Space
- Основные компоненты
- Возможности
- Коммуникация с пользователем
- Дизайн, стилизация
- API, Интеграции
- Каталоги
- Навигация
- Документы
- Дополнительные компоненты
- Продвижение, SEO
- Системные моменты Перенос компонентов между БД HOWTO. Как быстро перенести решение (таблицы, формы, страницы) на другую базу? HOWTO. Где я могу редактировать процедуру поиска, процедуру общих элементов Layout, процедуры периодического запуска и др? Как изменить длительность показа сообщений HOWTO. Отслеживание изменений хранимых процедур и страниц (logChanges) Как организовать периодическую отправку на почту отчета по ошибкам Форма обратной связи по ошибкам, предложениям suggestion Как разграничивать права на уровне бизнес-логики хранимых процедур Безопасная обработка данных и проверка доступа в хранимых процедурах Как включить системный лог в Core версии платформы Как увеличить размер подгружаемых файлов Использование типовой разметки в виде сниппетов для решения различных задач Работа с редактором кода в личном кабинете разработчика Логирование изменений объектов на примере хранимых процедур Как логировать клики на определенных элементах в системе Обработка старых браузеров (сообщение об устаревшем браузере) Как отследить и ограничить большое количество однородных запросов на сайте Как изменить таймаут запросов к БД Безопасность. Как скрыть некоторые заголовки (http headers) в запросах Логирование событий в приложении (trace) Как улучшить производительность IIS (IIS Perfomance Boost) Windows Server, IIS, Как сделать, чтобы сайт работал от определенной учетной записи Отображение сообщения об offline (Нет сети) Рабочее место разработчика через терминал FAQ для системного администратора сервера Системный анализ работы сайта на Falcon Space. Профилактика, диагностика работы сайта Обновляемые метки времени в сообщениях на сайте Подсказка по интерфейсам хранимых процедур компонентов Защита от CSRF атак через дополнительный токен в формах Дополнительные параметры в @parameters (во многих хранимых процедурах) Массовая оптимизация картинок в менеджерах ресурсов Как логировать события в Falcon в другую базу (чтобы ограничить рост основной базы данных)
- HOWTO
- HOWTO Таблицы
- HOWTO Формы
- Работа с SQL
- HOWTO JS
- HOWTO Верстка
- Решение проблем
Falcon Space
Это снижение стоимости владения
за счет меньшего количества людей для поддержки и узкого стека разработки. Про снижение стоимости владения продуктом
Это быстрое внесение изменений
по ходу эксплуатации программы. Как создается функционал на платформе
Это простой удобный интерфейс
адаптация под мобильные устройства. Про юзабилити платформы