Корзина 0
Каталог решений
Решения-Для разработчиков

Покупка продления купона

Продолжительность:
Общая сумма:
0 руб.
Ваш запрос успешно отправлен!

Я согласен с условиями активации продлений
Продлить
Продолжить покупки

Защита форм

Уязвимости сайта – недостатки в системе, позволяющие злоумышленнику навредить работе сайта или похитить персональные данные пользователей.Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос  к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.CSRF  – вид атак на посетителей веб-сайтов,  использующий недостатки протокола HTTP.  Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно  отправляется запрос на другой сервер (например, на сервер платёжной  системы), осуществляющий некую вредоносную операцию (например, перевод  денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на  том сервере, на который отправляется запрос, и этот запрос не должен  требовать какого-либо подтверждения со стороны пользователя, которое не  может быть проигнорировано или подделано атакующим скриптом. ОписаниеНаш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для  каждой формы генерируется короткоживущий csrf-токен проверяемый при  отправке. В отличии от базовой проверки через bx_sessid токен выдается  на конкретную форму и ограниченное время, что позволяет даже при  перехвате токена минимизировать возможные действия с ним.Защищает  от межсайтовой подделка запроса. Даже если запрос произойдет с текущими  cookie пользователя у злоумышленника не будет доступа к токену для  отправки форм от его имени.ИспользованиеДля подключения формы из модуля Веб-формыВключите проверку форм в настройках модуляЗадайте уникальный секрет для генерации кодовЗадайте желаемое время жизни токена в секундахВыберите необходимую форму из спискаДобавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>Для подключения к собственным формамВставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)

Защита форм

Защита форм

от Цифровой Элемент
Купить: 4 900 руб.
Скриншоты
Описание

Технические данные

Опубликовано:
25.09.2023
Версия:
1.0.0
Установлено:
Менее 50 раз
Подходящие редакции:
«Первый сайт», «Старт», «Стандарт», «Малый бизнес», «Бизнес»
Адаптивность:
Нет
Поддержка Композита:
Нет
Совместимо с Сайты24
Нет
Совместимо с PHP 8.1
Да

Пользовательское соглашение

Описание

Уязвимости сайта – недостатки в системе, позволяющие злоумышленнику навредить работе сайта или похитить персональные данные пользователей.

Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос  к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.

CSRF  – вид атак на посетителей веб-сайтов,  использующий недостатки протокола HTTP.  Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно  отправляется запрос на другой сервер (например, на сервер платёжной  системы), осуществляющий некую вредоносную операцию (например, перевод  денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на  том сервере, на который отправляется запрос, и этот запрос не должен  требовать какого-либо подтверждения со стороны пользователя, которое не  может быть проигнорировано или подделано атакующим скриптом.

Описание

Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для  каждой формы генерируется короткоживущий csrf-токен проверяемый при  отправке. В отличии от базовой проверки через bx_sessid токен выдается  на конкретную форму и ограниченное время, что позволяет даже при  перехвате токена минимизировать возможные действия с ним.

Защищает  от межсайтовой подделка запроса. Даже если запрос произойдет с текущими  cookie пользователя у злоумышленника не будет доступа к токену для  отправки форм от его имени.

Использование

Для подключения формы из модуля Веб-формы
  1. Включите проверку форм в настройках модуля
  2. Задайте уникальный секрет для генерации кодов
  3. Задайте желаемое время жизни токена в секундах
  4. Выберите необходимую форму из списка
  5. Добавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>
Для подключения к собственным формам
  1. Вставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);
  2. Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)
Отзывы (0)
Обсуждения (0)
Авторизуйтесь , чтобы оставить отзыв или задать вопрос разработчику.
Здесь пока никто ничего не написал. Будьте первым.
Установка
Установка
  1. Установите модуль из marketplace.1c-bitrix.ru
  2. Подключите генерацию токена для необходимых форм
  3. Настройте секретный код и время жизни токенов в настройках модуля
  4. Выберите необходимые для защиты формы модуля Веб-формы в настройках модуля
  5. Включите проверку токена в настройках модуля
Поддержка

Перед обращением в службу поддержки Цифрового Элемента, пожалуйста, ознакомьтесь с Документацией по настройке и работе 1С-Битрикс для пользователя.

Используя описание модуля и документацию 1С-Битрикс, вы сможете самостоятельно настроить решение, найти ответы на часто задаваемые вопросы и устранить большинство ошибок.

Поддержка осуществляется через форму на сайте https://d-element.ru/support/.

Техподдержка не осуществляется по телефону, Skype, Telegram и другим мессенджерам и социальным сетям.  

Техническая поддержка:

1) Консультация по работе и установке модуля в рамках типового функционала осуществляется бесплатно!

2) Установка и настройка решения на вашем проекте осуществляется по запросу за дополнительную оплату.

При каждом обращении обязательно предоставьте следующие данные:

  1. Адрес сайта.
  2. Логин и пароль для доступа к 1С-Битрикс с правами администратора. Как предоставить доступ сотруднику техподдержки?
  3. Адрес сервера, логин и пароль для доступа к сайту по FTP или SSH с правами на чтение и запись.
  4. Четкое описание проблемы и алгоритм действий для ее воспроизведения.
  5. Снимки экрана или видеозапись подтверждения ошибки. Обзор программ для создания скриншотов и скринкастов

Выполнение этих рекомендаций ускорит обработку вашей заявки.

Поддержка осуществляется по будням с 07:00 до 16:00 по московскому времени. Скорость ответа зависит от загруженности команды и сложности вопроса, но в среднем составляет 2-3 рабочих дня.

Другие решения разработчика

Все решения
Версия для слабовидящих Версия для слабовидящих 6 900 руб.
Имеются противопоказания Имеются противопоказания 1 000 руб.
Интеллектуальный поиск Интеллектуальный поиск 5 900 руб. 10
Кнопка Наверх Кнопка Наверх Бесплатно 5
Свободное место Свободное место Бесплатно 3

Решение добавлено в корзину

Перейдите в корзину и оформите заказ или продолжите покупки
Перейти в корзину
Продолжить покупки

Готовые решения

О маркетплейсе

Для разработчиков

Контакты
Карта сайта
Политика конфиденциальности
1С-Битрикс http://www.1c-bitrix.ru Мы работаем с 10:00 до 19:00 по московскому времени.

© 2001-2024 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 16+