FixVibe
Covered by FixVibehigh

Puipuiga a le CSRF: Puipuiga Fa'asaga i Suiga le Fa'atagaina a le Setete

O le Fa'atauga Fa'atauga o Feso'ota'iga (CSRF) o lo'o tumau pea le fa'amata'u tele i talosaga i luga ole laiga. O lenei su'esu'ega e su'esu'e ai pe fa'afefea ona fa'aogaina e fa'aonaponei fa'aonaponei e pei o Django le puipuiga ma pe fa'afefea ona fa'aogaina e uiga ole su'esu'ega e pei o le SameSite le puipuiga loloto i talosaga e le'i fa'atagaina.

CWE-352

Aafiaga

Cross-Site Request Forgery (CSRF) e mafai ai e le tagata osofaʻi ona faʻasesē le suʻesuʻega a le tagata manua i le faia o gaioiga e le manaʻomia i luga o se upega tafaʻilagi ese o loʻo faʻamaonia ai le tagata manua. Ona o tagata su'esu'e e otometi lava ona aofia ai fa'amatalaga fa'apitoa e pei o kuki i talosaga, e mafai e le tagata osofa'i ona fai fa'agaioiga suiga o le setete-e pei o le suia o fa'aupuga, tapeina fa'amaumauga, po'o le amataina o fefa'atauaiga-e aunoa ma le iloa e le tagata fa'aoga.

Mafua'aga

O le mafua'aga autu o le CSRF o le le fa'aogaina e le 'upega tafa'ilagi o le tu'uina atu o kuki e feso'ota'i ma se vaega i so'o se taimi e faia ai se talosaga i lena vaega, tusa lava po'o le a le amataga ole talosaga [S1]. A aunoa ma se faʻamaoniga faʻamaonia o se talosaga na faʻaosoina ma le loto i ai mai le faʻaoga a le tagata lava ia, e le mafai e le 'auʻaunaga ona iloa le eseesega i le va o se faʻaoga faʻaoga tatau ma se mea faʻatau.

Django CSRF Puipuiga Mechanisms

Django e tuʻuina atu se faiga faʻapipiʻi e faʻaitiitia ai nei lamatiaga e ala i le middleware ma le tuʻufaʻatasiga faʻataʻitaʻiga [S2].

Fa'agaoioia Middleware

O le django.middleware.csrf.CsrfViewMiddleware e nafa ma le puipuiga CSRF ma e masani ona mafai ona o le faaletonu [S2]. E tatau ona tu'u i luma o so'o se va'aiga middleware e fa'apea o osofa'iga a le CSRF ua uma ona fa'atautaia [S2].

Fa'ata'ita'iga Fa'atinoga

Mo so'o se fomu POST i totonu, e tatau i tagata atia'e ona aofia le {% csrf_token %} tag i totonu ole <form> elemene [S2]. O lenei mea e faʻamautinoa ai o loʻo i ai se faʻailoga tulaga ese, faalilolilo i totonu o le talosaga, lea e faʻamaonia ai e le 'auʻaunaga e faasaga i le sauniga a le tagata faʻaoga.

Tulaga Leakage Token

O se fa'amatalaga taua o le fa'atinoga o le {% csrf_token %} e le tatau lava ona fa'aofi i pepa fa'atatau i URL fafo [S2]. O le faia o lea mea o le a lia'i ai le CSRF fa'alilolilo fa'ailoga i se isi vaega, e ono fa'afefeteina ai le saogalemu o sauniga a le tagata fa'aoga [S2].

Puipuiga Tulaga Su'esu'e: Kuki SameSite

O su'esu'ega fa'aonaponei ua fa'ailoa mai le uiga SameSite mo le ulutala Set-Cookie e maua ai se vaega o le puipuiga-i-loloto [S1].

  • Strict: O le kuki e na'o le fa'asinomaga muamua, o lona uiga o le saite i le URL pa e fetaui ma le vaega ole kuki [S1].
  • Lax: E le lafo le kuki i luga ole laiga ole laiga (pei o ata po'o fa'avaa) ae e lafo pe a fa'aoga le tagata fa'aoga ile nofoaga na tupu mai ai, e pei ole mulimuli i se so'oga masani [S1].

Fa'afefea ona su'e le FixVibe

O le FixVibe ua aofia ai nei le puipuiga o le CSRF e fai ma siaki fa'agaoio. Ina ua mae'a fa'amaoniga a le vaega, su'esu'e e le active.csrf-protection fa'ailoga suiga o le setete, siaki mea fa'atusa CSRF-fa'ailoga ma fa'ailoga kuki SameSite, ona taumafai lea o le tu'uina atu o fa'ama'i maualalo ma na'o lipoti pe a talia e le 'au'aunaga. E siaki fo'i e le kuki uiga vaivai SameSite e fa'aitiitia ai le puipuiga a le CSRF i le loloto.