FixVibe
Covered by FixVibehigh

د CSRF ساتنه: د غیر مجاز دولت بدلونونو په وړاندې دفاع

د کراس سایټ غوښتنه جعل (CSRF) د ویب غوښتنلیکونو لپاره یو مهم ګواښ دی. دا څیړنه په ګوته کوي چې څنګه د جینګو په څیر عصري چوکاټونه محافظت پلي کوي او څنګه د براوزر کچې ځانګړتیاوې لکه SameSite د غیر مجاز غوښتنو پروړاندې دفاع ژوره چمتو کوي.

CWE-352

اغیزې

د کراس سایټ غوښتنه جعل (CSRF) برید کونکي ته اجازه ورکوي چې د قرباني براوزر په مختلف ویب پا onه کې د ناغوښتل شوي عملونو ترسره کولو لپاره چل کړي چیرې چې قرباني اوس مهال تصدیق شوی. ځکه چې براوزرونه په اتوماتيک ډول محیطي اسناد لکه کوکیز په غوښتنو کې شاملوي، یو برید کونکی کولی شي د دولت بدلولو عملیات جعل کړي - لکه د پاسورډ بدلول، د معلوماتو حذف کول، یا د معاملو پیل کول - د کارونکي له پوهې پرته.

اصلي لامل

د CSRF بنسټیز لامل د ویب براوزر د ډیفالټ چلند دی چې د ډومین سره تړلي کوکیز لیږلو کې هرکله چې د غوښتنې اصلي ځای ته په پام سره د دې ډومین لپاره غوښتنه کیږي. د ځانګړي تایید پرته چې غوښتنه په قصدي ډول د غوښتنلیک د خپل کارونکي انٹرفیس څخه رامینځته شوې ، سرور نشي کولی د قانوني کارونکي عمل او جعلي عمل ترمینځ توپیر وکړي.

د جینګو CSRF محافظت میکانیزمونه

جینګو یو جوړ شوی دفاعي سیسټم چمتو کوي ترڅو دا خطرونه د مینځني وسایلو او ټیمپلیټ ادغام [S2] له لارې کم کړي.

د مینځني ویر فعالول

django.middleware.csrf.CsrfViewMiddleware د CSRF محافظت لپاره مسؤل دی او عموما د ډیفالټ [S2] لخوا فعال شوی. دا باید د هر لید منځګړیتوب دمخه موقعیت ولري چې ګومان کوي ​​د CSRF بریدونه دمخه [S2] اداره شوي.

د کينډۍ پلي کول

د هر ډول داخلي پوسټ فارمونو لپاره، پراختیا کونکي باید د <form> عنصر [S2] دننه {% csrf_token %} ټګ شامل کړي. دا ډاډ ورکوي چې یو ځانګړی، پټ نښه په غوښتنه کې شامله ده، کوم چې سرور بیا د کاروونکي ناستې په وړاندې تاییدوي.

د ټوکن لیک خطرونه

د پلي کولو یو مهم تفصیل دا دی چې {% csrf_token %} باید هیڅکله په فورمو کې شامل نشي چې بهرني URLs [S2] په نښه کوي. داسې کول به د CSRF پټ نښه دریمې ډلې ته لیک کړي، په بالقوه توګه د کارونکي سیشن امنیت [S2] سره موافقت کوي.

د براوزر کچې دفاع: د ورته سایټ کوکیز

عصري براوزرونو د Set-Cookie سرلیک لپاره د SameSite ځانګړتیا معرفي کړې ترڅو د دفاع ژوره [S1] پرت چمتو کړي.

  • سخت: کوکي یوازې د لومړۍ ډلې په شرایطو کې لیږل کیږي، پدې معنی چې د URL بار کې سایټ د کوکي د ډومین [S1] سره سمون لري.
  • لیکس: کوکی د کراس سایټ فرعي غوښتنو (لکه عکسونو یا چوکاټونو) کې نه لیږل کیږي مګر هغه وخت لیږل کیږي کله چې یو کاروونکي اصلي سایټ ته لاړ شي، لکه د معیاري لینک [S1] تعقیبولو سره.

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe اوس د CSRF محافظت د فعال فعال چیک په توګه شامل دی. د ډومین تصدیق وروسته، active.csrf-protection کشف شوي حالت بدلیدونکي فورمې معاینه کوي، د CSRF-ټوکن-شکل شوي آخذونو او د ورته سایټ کوکي سیګنالونو لپاره معاینه کوي، بیا د ټیټ اغیزې جعلي اصلي سپارلو هڅه کوي او یوازې راپور ورکوي کله چې سرور یې ومني. د کوکي چکونه هم د ضعیف SameSite ځانګړتیاوې بیرغ کوي چې د CSRF دفاع په ژوره توګه کموي.