Защита форм
Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.
CSRF – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Описание
Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для каждой формы генерируется короткоживущий csrf-токен проверяемый при отправке. В отличии от базовой проверки через bx_sessid токен выдается на конкретную форму и ограниченное время, что позволяет даже при перехвате токена минимизировать возможные действия с ним.
Защищает от межсайтовой подделка запроса. Даже если запрос произойдет с текущими cookie пользователя у злоумышленника не будет доступа к токену для отправки форм от его имени.
Использование
Для подключения формы из модуля Веб-формы
- Включите проверку форм в настройках модуля
- Задайте уникальный секрет для генерации кодов
- Задайте желаемое время жизни токена в секундах
- Выберите необходимую форму из списка
- Добавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>
- Вставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);
- Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)
1С-Битрикс: Управление сайтом
«1С-Битрикс: Управление сайтом» - профессиональная система управления интернет-ресурсами, CMS №1 в России. С помощью простой современной системы вы можете создавать и поддерживать любые проекты:
◄ интернет-магазинов
◄ корпоративных сайтов
◄ информационных порталов
◄ страниц сообществ
◄рекламных лендингов
Сайты на платформе 1С-Битрикс - это удобство, надежность и высокая посещаемость. Развивайте свой бизнес с нашими инструментами!
CMS №1 в России*
Создание и развитие корпоративных сайтов, интернет-магазинов, информационных порталов и других веб-проектов.
*В рейтинге систем управления сайтом в Рунете по данным iTrack
Конструктор сайтов
Простой конструктор для быстрого создания сайтов и лендингов - для акций, рекламы, продвижения товаров и услуг. 35 шаблонов для разных сфер бизнеса и более 200 блоков. Сайты готовы к просмотру на мобильных устройствах.
Интернет-магазин
Инструменты для продаж в интернете:
Продуманная корзина, сравнение товаров, платежи и доставка, Удобное управление магазином: SKU, склады, учет остатков, интеграция с 1С.
Маркетинг и коммуникации
Все для повышения конверсии:
Сегментация клиентской базы, email и sms рассылки, триггерные рассылки, целевая реклама в интернете, настройка программ лояльности с широким выбором видов скидок.
Высокая производительность
Загрузка сайта происходит в сто раз быстрее.
Магазины работают в разы быстрее даже при высоких нагрузках - скорость оформления заказа выше в 32 раза, скорость работы корзины выше в 2,5 раза.
Продуманная корзина, сравнение товаров, платежи и доставка, Удобное управление магазином: SKU, склады, учет остатков, интеграция с 1С.
Безопасность
Надежная защита от взлома и кражи информации с сайта. Целый ряд технических решений по защите всей системы и веб-приложений. Это многоуровневая безопасность ваших интернет-проектов от большинства известных угроз.
Мобильность
Технология, позволяющая быстро разрабатывать мобильные приложения под iOS и Android для сайтов, созданных на платформе «1С-Битрикс».
Приложения публикуются в AppStore и Google Play.