FixVibe
Covered by FixVibehigh

Nchedo CSRF: Na-agbachitere Mgbanwe Ọchịchị Na-akwadoghị

Arịrịọ nke saịtị gafere (CSRF) ka bụ nnukwu ihe iyi egwu na ngwa weebụ. Nnyocha a na-enyocha ka usoro ọgbara ọhụrụ dị ka Django si eme ihe nchebe yana otu njirimara ọkwa ihe nchọgharị dị ka SameSite si enye nchebe-n'omimi megide arịrịọ na-enweghị ikike.

CWE-352

Mmetụta

Arịrịọ arịrịọ saịtị gafere (CSRF) na-enye ohere ka onye na-awakpo ghọgbuo ihe nchọgharị onye ihe metụtara ime omume achọghị na webụsaịtị dị iche ebe enwetara onye ihe metụtara ugbu a. N'ihi na ihe nchọgharị na-akpaghị aka na-agụnye nzere ambient dị ka kuki na arịrịọ, onye na-awakpo nwere ike ịmalite ọrụ na-agbanwe steeti-dịka ịgbanwe okwuntughe, ihichapụ data, ma ọ bụ ịmalite azụmahịa-na-enweghị ihe ọmụma onye ọrụ.

Ihe kpatara ya

Isi ihe kpatara CSRF bụ omume ndabara nke ihe nchọgharị weebụ nke izipu kuki metụtara ngalaba mgbe ọ bụla arịọrọ arịrịọ na ngalaba ahụ, n'agbanyeghị ebe arịrịọ ahụ sitere [S1]. Na-enweghị nkwado a kapịrị ọnụ na eburu n'obi kpalite arịrịọ site na interface onye ọrụ nke ngwa ahụ, ihe nkesa enweghị ike ịmata ọdịiche dị n'etiti omume onye ọrụ ziri ezi na nke adịgboroja.

Usoro nchekwa Django CSRF

Django na-enye usoro nchekwa arụnyere n'ime iji belata ihe egwu ndị a site na ntinye etiti na ndebiri [S2].

Middleware Mgbalite

django.middleware.csrf.CsrfViewMiddleware na-ahụ maka nchekwa CSRF ma na-enyere ya aka site na ndabara [S2]. A ga-edobe ya tupu eleba anya n'etiti ihe ọ bụla na-eche na a na-edozilarị ọgụ CSRF [S2].

Mmejuputa ndebiri

Maka ụdị POST ọ bụla dị n'ime, ndị mmepe ga-etinyerịrị mkpado {% csrf_token %} n'ime <form> element [S2]. Nke a na-eme ka a mara na agbakwunyere akara nzuzo pụrụ iche na arịrịọ ahụ, nke ihe nkesa na-akwadokwa megide nnọkọ onye ọrụ.

Ihe ize ndụ mgbapụ Token

Nkọwa dị oke mkpa nke mmejuputa iwu bụ na {% csrf_token %} ekwesịghị itinye ya n'ụdị ezubere iche URL mpụga [S2]. Ime nke a ga-eme ka ndị ọzọ nweta akara nzuzo CSRF, nwere ike mebie nchekwa nnọkọ onye ọrụ [S2].

Nchekwa Ọkwa ihe nchọgharị: kuki otu saịtị

Ihe nchọgharị ọgbara ọhụrụ ewebatala njiri mara SameSite maka isi okwu Set-Cookie iji nye akwa nchekwa-n'omimi [S1].

  • Ihe siri ike: A na-eziga kuki naanị n'ọnọdụ ndị otu mbụ, nke pụtara na saịtị dị na ogwe URL dabara na ngalaba kuki [S1].
  • Lax: Anaghị ezipu kuki ahụ na arịrịọ n'ofe saịtị (dịka onyonyo ma ọ bụ okpokolo agba) mana a na-eziga ya mgbe onye ọrụ gawara na saịtị izizi, dịka site na isoro njikọ ọkọlọtọ [S1].

Kedu ka FixVibe si nwalee ya

FixVibe gụnyere nchekwa CSRF dị ka nlele na-arụsi ọrụ ike. Mgbe nkwenye ngalaba gasịrị, active.csrf-protection na-enyocha ụdị mgbanwe steeti achọpụtara, na-enyocha ntinye ụdị CSRF na akara kuki SameSite, wee nwaa nrubeisi sitere na mmetụta dị ala na-akọ naanị mgbe ihe nkesa nabatara ya. Nyochaa kuki na-egosipụtakwa àgwà SameSite na-adịghị ike nke na-ebelata nchekwa-n'ime omimi CSRF.