Eine Einführung in CSRF-Tokens: https://portswigger.net/web-security/csrf/tokens. Ähnlich wie in dem Artikel beschrieben, bietet Nostromo seit nostromo/framework 6.5.113 ebenfalls Schutz vor CSRF-Attacken. Dazu können einzelne Aktionen vor CSRF-Attacken geschützt werden, indem Alle POST Aufrufe müssen ein CSRF-Token enthalten. Außerdem kann mit csrfToken="1" für die jeweilige in der jeweiligen Aktion in der Module.xml ergänzt wird. eine Prüfung auf ein CSRF-Token erzwungen werden Beispiel:
| Code Block | ||
|---|---|---|
| ||
<action name="updateTag" menu="0" security="1" csrfToken="1">
<description>Tag speichern</description>
<next type="view">indexTag</next>
</action> |
...
Aktionen, die csrfToken="1" nicht haben und per GET aufgerufen werden, sind nicht gegen CSRF-Attacken geschützt. Diese sollten also keine (sensiblen) Daten ändern! Wie oben im Artikel beschrieben, sollten CSRF-Tokens nicht per GET übertragen werden. Deshalb werden diese in Nostromo nur über POST übertragen. Aktuell werden sie unterstützt von:
FormControl
SubmitDataControl
Delete-Button im GridControl
...
Deshalb muss für jede Aktion einzeln überprüft werden, ob CSRF-Tokens für diese aktiviert werden können.
...