FixVibe
Covered by FixVibehigh

Te Tiaki CSRF: Te Tiaki ki nga Huringa Whenua Karekau

Ko te Whakapae Tono Whakawhiti (CSRF) ka noho tonu hei riri nui ki nga tono tukutuku. Ka tirotirohia e tenei rangahau he pehea te whakatinanatanga o nga anga hou penei i a Django i te whakamarumaru me te pehea o nga huanga taumata-tirotiro penei i a SameSite te whakamarumaru-hohonutanga ki nga tono kore mana.

CWE-352

Paanga

Ko te Tiaki Whakawhiti Paepae (CSRF) ka taea e te kaitukino te whakapohehe i te kaitirotiro a te patunga ki te mahi i nga mahi e kore e hiahiatia i runga i tetahi paetukutuku rereke kei reira te tangata i whakamotuhēhēhia i tēnei wā. Na te mea kei te whakauru aunoa nga kaitirotiro tohu tohu ambient pera i nga pihikete i roto i nga tono, ka taea e te kaitukino te hanga i nga mahi whakarereke-kawana-pēnei i te huri i nga kupuhipa, te whakakore i nga raraunga, te tiimata ranei i nga whakawhitinga—kahore he mohio o te kaiwhakamahi.

Take Putake

Ko te take matua o CSRF ko te whanonga taunoa o te kaitirotiro paetukutuku ki te tuku pihikete e hono ana ki tetahi rohe ina tono tono ki tera rohe, ahakoa te takenga mai o te tono [S1]. Ki te kore he whakamanatanga motuhake i puta mai he tono mai i te atanga kaiwhakamahi ake o te tono, kaore e taea e te tūmau te wehewehe i waenga i te mahi a te kaiwhakamahi tika me te mahi tito.

Nga Tikanga Tiaki Django CSRF

Ka whakaratohia e Django he punaha whakamarumaru i roto hei whakaiti i enei tupono ma te whakaurunga o waenga me te tauira [S2].

Whakahohenga Waenganui

Ko te django.middleware.csrf.CsrfViewMiddleware te kawenga mo te whakamarumaru CSRF me te nuinga o te waa ka whakahohea ma te taunoa [S2]. Me tuu ki mua i tetahi tirohanga waenga e whakaaro ana kua whakahaerea nga whakaeke CSRF [S2].

Whakatinana tauira

Mo nga puka POST o roto, me whakauru e nga kaihanga te tohu {% csrf_token %} ki roto i te huānga <form> [S2]. Ma tenei ka whakapumau he tohu ahurei, huna kua whakauruhia ki roto i te tono, ka whakamanahia e te tūmau ki te wātū a te kaiwhakamahi.

Nga Moreatanga Leakage Tohu

Ko tetahi korero tino nui mo te whakatinanatanga ko te {% csrf_token %} kia kaua rawa e uru ki nga puka e aro ana ki nga URL o waho [S2]. Ma te mahi pera ka tuku te tohu CSRF ngaro ki tetahi atu tuatoru, tera pea ka whakararu i te haumarutanga o te waahi o te kaiwhakamahi [S2].

Pūtirotiro-Taumata Parenga: SameSite Pihikete

Kua whakauruhia e nga kaitirotiro hou te huanga SameSite mo te pane Set-Cookie hei whakarato i tetahi paparanga o te whakamarumaru-hohonu [S1].

  • Kia: Ka tukuna noa te pihikete i roto i te horopaki tuatahi, ko te tikanga ko te pae i te pae URL e rite ana ki te rohe o te pihikete [S1].
  • Lax: Karekau te pihikete e tukuna i runga i nga tono riipene-pae (penei i nga whakaahua, i nga papa ranei) engari ka tukuna ina whakatere te kaiwhakamahi ki te waahi takenga mai, penei ma te whai i tetahi hononga paerewa [S1].

Me pehea te whakamatautau a FixVibe

Kei roto i te FixVibe te whakamarumaru CSRF hei haki hohe kuaha. Whai muri i te manatokonga rohe, ka tirotirohia e active.csrf-protection nga puka whakarereke-a-iwi, ka tirotirohia nga whakaurunga-ahua-tohu-CSRF me nga tohu pihikete SameSite, katahi ka ngana ki te tuku tuku-taketake-a-papanga iti me te ripoata anake ina whakaae te tūmau. Ka tirohia ano e te Pihikete nga huanga ngoikore SameSite e whakaiti ana i te whakamarumaru-hohonu o CSRF.