Подделка межсайтовых запросов (CSRF) — это серьезная уязвимость безопасности, которая может повлиять на веб-приложения, созданные с использованием XML или HTML. Атаки CSRF происходят, когда злоумышленник обманом заставляет пользователя выполнить непреднамеренное действие на веб-сайте без его ведома и согласия. Для защиты от атак CSRF разработчикам необходимо реализовать эффективные контрмеры. В этой статье мы рассмотрим несколько методов защиты CSRF в XML/HTML, а также приведем примеры кода.

Метод 1: шаблон токена синхронизатора

Шаблон токена синхронизатора — широко используемый метод защиты от CSRF. Он предполагает включение уникального токена в каждую HTML-форму и проверку его присутствия и правильности при отправке формы. Вот пример реализации этого метода с использованием XML/HTML:

<form action="/process-form" method="post">
  <input type="hidden" name="csrf_token" value="{{csrfToken}}" />
  <!-- Other form fields -->
  <button type="submit">Submit</button>
</form>

На стороне сервера вы должны проверить токен CSRF перед обработкой отправки формы.

Метод 2: файлы cookie SameSite

Файлы cookie SameSite обеспечивают дополнительный уровень защиты от атак CSRF. Установив для атрибута SameSite значение «Строгий» или «Слабый» при настройке файлов cookie, вы можете ограничить их доступность запросами с одного и того же сайта. Вот пример установки файла cookie SameSite с использованием JavaScript:

document.cookie = "sessionid=1234; SameSite=Lax";

Это гарантирует, что файл cookie будет отправляться только вместе с запросами, исходящими с того же сайта.

Метод 3: двойная отправка файлов cookie

Метод двойной отправки файлов cookie предполагает включение токена CSRF как в файл cookie, так и в параметр запроса. Сервер сравнивает оба значения, чтобы проверить согласованность. Вот пример реализации этого метода с использованием XML/HTML:

<script>
  function setCSRFToken() {
    var csrfToken = "{{csrfToken}}";
    document.cookie = "csrf_token=" + csrfToken;
    document.getElementById("csrf_token").value = csrfToken;
  }
</script>
<form action="/process-form" method="post">
  <input type="hidden" id="csrf_token" name="csrf_token" />
  <!-- Other form fields -->
  <button type="submit" onclick="setCSRFToken()">Submit</button>
</form>

Метод 4. Проверка заголовка реферера

Другой подход — проверить заголовок Referrer на стороне сервера. Сервер проверяет, соответствует ли URL-адрес реферера ожидаемому домену. Хотя этот метод не является надежным, он может обеспечить дополнительный уровень защиты. Вот пример того, как выполнить проверку заголовка Referrer с помощью серверного кода:

def process_form(request):
  expected_referer = "https://www.example.com/"
  if request.META.get('HTTP_REFERER') == expected_referer:
    # Process the form submission
  else:
    # Handle potential CSRF attack

Защита от атак CSRF имеет решающее значение для обеспечения безопасности веб-приложений на основе XML/HTML. В этой статье мы рассмотрели несколько методов защиты от CSRF, включая шаблон токена синхронизатора, файлы cookie SameSite, файлы cookie двойной отправки и проверку заголовка реферера. Разработчикам следует тщательно оценить конкретные требования своих приложений и выбрать наиболее подходящий метод защиты CSRF. Внедрение этих методов поможет защититься от уязвимостей CSRF и обеспечить более безопасную работу пользователей в Интернете.