• בלוג
  • הגנת CSRF ב Express לעומת Rails

הגנת CSRF ב Express לעומת Rails

04/07/2019

מתקפת CSRF משתמשת בעובדה שאתם כבר מחוברים לאתר מסוים (האתר הפגיע) בטאב אחד בדפדפן, ועכשיו אתם גולשים לאתר אחר (התוקף) מטאב אחר. אתר שפגיע למתקפת CSRF יאפשר לאתר התוקף לגרום לדפדפן שלכם לבצע פעולות באתר הפגיע גם בלי שהתכוונתם.

ב Express בשביל להגן על האתר שלכם ממתקפת CSRF אתם תצטרכו:

  1. לדעת שאתם צריכים הגנת CSRF ולחפש את הספריה בגוגל.

  2. להתקין את הספריה.

  3. להיזכר שאתם צריכים להגן גם על ה API שלכם ולמצוא את הספריה cors-gate, ואז להתקין גם אותה.

  4. להפעיל את שתי הספריות לפי ההוראות בתיעוד שלהן באמצעות הוספת Middlewares.

  5. להוסיף בכל אחד מהטפסים במערכת את ה CSRF Token.

  6. לאורך כל המשך העבודה עם המערכת, כל פעם שתיצרו טופס חדש יהיה עליכם לזכור להוסיף לו את ה CSRF Token כשדה נסתר.

בריילס כל זה קורה אוטומטי בשבילכם ומופעל By Default בכל פרויקט חדש.

לבחירה שלנו בפריימוורקים רזים יש עלות. ההחלטה להשתמש בפריימוורק שלא כולל היבטים של אבטחת מידע יכולה לעבוד רק אם אנחנו מבינים את כל היבטי האבטחה שאנחנו לא מקבלים מהפריימוורק ובונים לבד את המנגנונים שאנחנו צריכים.