html - ক্রস ডোমেইন ফর্ম পোস্টিং




security http (2)

একই মূল নীতিটি অন্য url (বিভিন্ন প্রোটোকল বা ডোমেন বা পোর্ট) এ অনুরোধ পাঠানোর সাথে কিছু করার নেই।

এটি অন্য url থেকে প্রতিক্রিয়া (পড়ার) প্রতিক্রিয়া ডেটাতে অ্যাক্সেস সীমিত করার বিষয়ে। সুতরাং একটি পৃষ্ঠার মধ্যে জাভাস্ক্রিপ্ট কোডটি ইচ্ছাকৃত ডোমেনে পোস্ট করতে পারে অথবা যে পৃষ্ঠায় যে কোনও ফর্মের ফর্মগুলি জমা দিতে পারে (যতক্ষণ না ফর্মটি বিভিন্ন url সহ আইফ্রেমে থাকে)।

কিন্তু এই POST অনুরোধগুলি অক্ষম কিনা তা হল এই অনুরোধগুলি অ্যান্টিফোর্জারি টোকেনগুলির অভাব রয়েছে, তাই অন্যান্য url দ্বারা উপেক্ষা করা হয়। তাছাড়া, যদি জাভাস্ক্রিপ্টটি সেই নিরাপত্তা টোকেনগুলি পাওয়ার চেষ্টা করে, শিকার URL টিতে AJAX অনুরোধ প্রেরণ করে, এটি একই মূলনীতি দ্বারা সেই তথ্য অ্যাক্সেস করতে বাধা দেয়।

একটি ভাল উদাহরণ: here

এবং মোজিলা থেকে একটি ভাল ডকুমেন্টেশন: here

আমি এই বিষয়ে নিবন্ধ এবং পোস্টগুলি দেখেছি (এসও সহ), এবং বিদ্যমান ভাষ্যটি একই উত্স নীতিটি ডোমেইনে একটি ফর্ম পোস্টকে আটকায়। আমি যে কেউ দেখেছি সেটিই সুপারিশ করে যে একই পোস্ট নীতি ফর্মগুলিতে প্রযোজ্য নয়, এখানে

আমি আরো একটি "অফিসিয়াল" বা আনুষ্ঠানিক উৎস থেকে একটি উত্তর চাই। উদাহরণস্বরূপ, কেউ কি RFC কে জানে যে একই-মূল কীভাবে ফর্ম ফর্মটি প্রভাবিত করে না বা কোনও প্রভাব ফেলে না?

স্পষ্টকরণ : কোন GET বা POST তৈরি করা যেতে পারে এবং কোনও ডোমেনে পাঠানো হয় কিনা তা আমি জিজ্ঞাসা করছি না। আমি জিজ্ঞেস করছি:

  1. যদি Chrome, IE, বা Firefox ডোমেন 'Y' থেকে ডোমেন 'X' এ পোস্ট পাঠাতে অনুমতি দেয়,
  2. যদি সার্ভার পোষ্টটি গ্রহন করে তবে আসলেই কোনও ফর্মের মান দেখতে পাবে। আমি এটি বলি কারণ সার্ভারের বেশিরভাগ অনলাইন রেকর্ড রেকর্ডকারীরা সার্ভারটিকে পোস্টটি পেয়ে বলেছে, তবে ফর্মের মানগুলি সব খালি / ফাঁকা হয়ে গেছে।
  3. কোনও অফিসিয়াল দস্তাবেজ (অর্থাত্ RFC) প্রত্যাশিত আচরণটি ব্যাখ্যা করে (ব্রাউজারগুলি কীভাবে বাস্তবায়িত হয়েছে তা নির্বিশেষে)।

ঘটনাক্রমে, যদি একই-মূলটি ফর্ম পোষ্টগুলিকে প্রভাবিত করে না তবে - এটি জালিয়াতির টোকেনগুলি কেন জরুরী তা জেনে কিছুটা স্পষ্ট করে তোলে। আমি "কিছুটা" বলি কারণ এটি বিশ্বাস করা খুব সহজ মনে হচ্ছে যে কোন আক্রমণকারী সহজেই জালিয়াতি টোকেন সহ একটি ফর্ম পুনরুদ্ধারের জন্য একটি HTTP GET ইস্যু করতে পারে এবং তারপরেও সেই অবৈধ টোকেন রয়েছে এমন একটি অবৈধ পোস্ট তৈরি করতে পারে। মন্তব্য?


একটি ইচ্ছাকৃত GET বা POST অনুরোধ তৈরি করা এবং একটি শিকার ব্রাউজার অ্যাক্সেসযোগ্য কোন সার্ভারে এটি পাঠানো সম্ভব। এতে আপনার স্থানীয় নেটওয়ার্কে ডিভাইসগুলি অন্তর্ভুক্ত রয়েছে, যেমন প্রিন্টার এবং রাউটার।

একটি CSRF শোষণ নির্মাণের অনেক উপায় আছে। একটি সহজ POST ভিত্তিক CSRF আক্রমণটি .submit() পদ্ধতি ব্যবহার করে পাঠানো যেতে পারে। আরো জটিল আক্রমণ, যেমন ক্রস সাইট ফাইল আপলোড CSRF আক্রমণগুলি xhr.withCredentals আচরণের CORS ব্যবহারকে কাজে লাগাবে

সিএসআরএফ জাভা স্ক্রিপ্টের জন্য একই মূল নীতিটি লঙ্ঘন করে না কারণ SOP জাভাস্ক্রিপ্টের সাথে ক্লায়েন্টের অনুরোধে সার্ভারের প্রতিক্রিয়া পড়ার সাথে সংশ্লিষ্ট। সিএসআরএফ আক্রমণগুলি প্রতিক্রিয়া সম্পর্কে উদ্বিগ্ন নয়, তারা একটি পার্শ্ব প্রতিক্রিয়া , বা অনুরোধ দ্বারা উত্পাদিত রাষ্ট্র পরিবর্তন সম্পর্কিত যত্ন, যেমন প্রশাসনিক ব্যবহারকারী যুক্ত করা বা সার্ভারে নির্বিচারে কোড কার্যকর করা।

OWASP CSRF Prevention Cheat Sheet এ বর্ণিত পদ্ধতিগুলি ব্যবহার করে আপনার অনুরোধগুলি সুরক্ষিত রয়েছে তা নিশ্চিত করুন। সিএসআরএফ সম্পর্কে আরও তথ্যের জন্য সিএসআরএফ-তে ওডাব্লুএসপি পৃষ্ঠাটি দেখুন





same-origin-policy