ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

CSRF — зачем вообще нужен и как с ним бороться
  #1  
Старый Вчера, 16:00
ominous766
Участник форума
Регистрация: 02.03.2013
Сообщений: 192
С нами: 6946166

Репутация: 5
По умолчанию CSRF — зачем вообще нужен и как с ним бороться

Если у вас есть сайт с формами (регистрация, комменты, смена пароля и т.п.), то вряд ли вы не слышали про CSRF. Вкратце — это когда злоумышленник заставляет пользователя вашего сайта ненамеренно выполнить какое-то действие. Например, нажать кнопку «удалить» или «сменить email», просто перейдя по вредной ссылке.

Чаще всего атаки такого типа срабатывают, если на сервере не проверяется, откуда пришёл запрос. Проверка реферера — не лучший способ, потому что он легко подделывается.

Что реально помогает? Самый надёжный подход — использовать CSRF токены, которые генерируются для каждой сессии и проверяются при отправке формы. Без правильного токена сервер просто отклонит запрос. Это просто и эффективно.

Если в проекте есть фреймворк — почти всегда там уже есть встроенная поддержка CSRF-защиты (Laravel, Django, Spring и др.). Для самописных движков — нужно явно добавить проверку токена.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.