# ተጽዕኖ የሳይት ተሻጋሪ ጥያቄ ፎርጀሪ (CSRF) አጥቂ የተጎጂውን አሳሽ በማታለል ተጎጂው በአሁኑ ጊዜ የተረጋገጠበት ሌላ ድረ-ገጽ ላይ ያልተፈለጉ ድርጊቶችን እንዲፈጽም ያስችለዋል። አሳሾች በጥያቄ ውስጥ እንደ ኩኪዎች ያሉ ድባብ ምስክርነቶችን በራስ-ሰር ስለሚያካትቱ አጥቂ ሁኔታን የሚቀይሩ ተግባራትን ማለትም የይለፍ ቃሎችን መለወጥ፣ ውሂብ መሰረዝ ወይም ግብይቶችን ማስጀመር - ያለተጠቃሚው እውቀት።
የስር መንስኤ
የCSRF መሰረታዊ ምክንያት የጥያቄው መነሻ ምንም ይሁን ምን ከጎራ ጋር የተጎዳኙ ኩኪዎችን የመላክ የድር አሳሽ ነባሪ ባህሪ ነው። ጥያቄው ሆን ተብሎ ከመተግበሪያው የተጠቃሚ በይነገጽ መነሳቱን ልዩ ማረጋገጫ ከሌለ አገልጋዩ ህጋዊ የተጠቃሚ እርምጃ እና የተጭበረበረውን መለየት አይችልም።
Django CSRF ጥበቃ ዘዴዎች
ዲጃንጎ እነዚህን አደጋዎች በመካከለኛ ዌር እና በአብነት ውህደት [S2] በኩል ለመከላከል አብሮ የተሰራ የመከላከያ ስርዓት ያቀርባል።
ሚድልዌር ማግበር
django.middleware.csrf.CsrfViewMiddleware ለCSRF ጥበቃ ኃላፊነት አለበት እና በተለምዶ በነባሪ [S2] ነቅቷል። የሲኤስአርኤፍ ጥቃቶች ቀደም ብለው [S2] መያዛቸውን የሚገምት ከማንኛዉም እይታ መካከለኛ ዌር በፊት መቀመጥ አለበት።
የአብነት ትግበራ
ለማንኛውም የውስጥ POST ቅጾች ገንቢዎች የ{% csrf_token %} መለያን በ<form> አባል [S2] ውስጥ ማካተት አለባቸው። ይህ ልዩ የሆነ ሚስጥራዊ ቶከን በጥያቄው ውስጥ መካተቱን ያረጋግጣል፣ ይህም አገልጋዩ ከተጠቃሚው ክፍለ ጊዜ አንፃር ያረጋግጣል።
ማስመሰያ የማፍሰስ አደጋዎች
ወሳኝ የአተገባበር ዝርዝር {% csrf_token %} ውጫዊ ዩአርኤልዎችን [S2] በሚያነጣጥሩ ቅጾች ውስጥ መካተት የለበትም ይህን ማድረግ ሚስጥራዊውን የሲኤስአርኤፍ ቶከን ለሶስተኛ ወገን ያስለቅቃል፣ ይህም የተጠቃሚውን ክፍለ ጊዜ ደህንነት [S2] ሊጎዳ ይችላል።
የአሳሽ ደረጃ መከላከያ፡ SameSite ኩኪዎች
ዘመናዊ አሳሾች የSameSite ባህሪን ለSet-Cookie አርዕስት አስተዋውቀዋል የመከላከያ ጥልቀት [S1]።
- ጥብቅ: * ኩኪው የሚላከው በአንደኛ ወገን አውድ ብቻ ነው፣ ይህም ማለት በዩአርኤል አሞሌ ውስጥ ያለው ጣቢያ ከኩኪው ጎራ [S1] ጋር ይዛመዳል።
- ላክስ፡ ኩኪው በድረ-ገጾ-አቋራጭ የንዑስ ጥያቄዎች (እንደ ምስሎች ወይም ክፈፎች ያሉ) አይላክም ነገር ግን ተጠቃሚው ወደ መነሻ ቦታው ሲሄድ ይላካል፣ ለምሳሌ መደበኛ ማገናኛን በመከተል [S1]።
FixVibe እንዴት እንደሚፈትሽ
FixVibe አሁን የCSRF ጥበቃን እንደ የተዘጋ ንቁ ፍተሻ ያካትታል። ከጎራ ማረጋገጫ በኋላ፣ active.csrf-protection የተገኙ ሁኔታን የሚቀይሩ ቅጾችን ይፈትሻል፣ የCSRF-ቶከን ቅርጽ ያላቸው ግብዓቶችን እና የSameSite ኩኪ ምልክቶችን ይፈትሻል፣ ከዚያም ዝቅተኛ-ተፅዕኖ የተጭበረበረ መነሻ ለማቅረብ ይሞክራል እና አገልጋዩ ሲቀበለው ብቻ ሪፖርት ያደርጋል። የኩኪ ፍተሻዎች የCSRF መከላከያን በጥልቀት የሚቀንሱትን ደካማ የSameSite ባህሪያትን ይጠቁሙ።