Cómo manipular la propiedad sameSite para prevenir "Cross-Site Request Forgery"

 Cómo agragar sameSite para prevenir "Cross-Site Request Forgery"

En el presente tutorial se muestra cómo habilitar la medida de seguridad "sameSite" para prevenir la vulnerabilidad llamada "Cross-Site Request Forgery".

Como referencia puedes hacer la prueba antes de hacer la presente modificación dando clic derecho en tu navegador, en este caso estoy utilizado el navegador Chrome y dando clic en la opción de "Application" despues en "Cookies" y en seguida selecciono el sitio correspondiente, aparecera algo como lo siguiente:



Observa que en donde dice "SameSite" esta vacio, esto indica que no se tiene dicha medida de seguridad. 

Entonces para cambiarla yo estoy realizando este ejercicio con PHP 8.1 y Yii 
2.0.47, que de acuerdo a la documentación de Yii esto sólo funciona a partir de la version 2.0.21 o superior.

Deberá entrar al archivo de configuración según su plantilla, en mi caso tengo la básica por lo que entraré a "config/web.php" y agregaré la siguiente configuración.


'components' => [
       
 'session'=>[
            'cookieParams' => [ 
                'httpOnly' => true,
                'secure' => true,
                'sameSite' => PHP_VERSION_ID >= 70300 ? yii\web\Cookie::SAME_SITE_LAX : null,
            ]
        ],

]



Observe que dicha configuración debe estar dentro de los corchetes de "component" y dentro de una propiedad llamada "session", las primeras dos configuraciones 'httpOnly' y 'secure' son opcionales aun que yo recomiendo agregarlas, y la tercera propiedad  'sameSite' es la que hará el trabajo de agregar a seguridad de 'sameSite' para evitar "Cross-Site Request Forgery".

Una vez que se aplique la propiedad, si todo esta bien deberá aparecer de la siguiente manera: 





Referencias: 

https://www.yiiframework.com/doc/guide/2.0/en/runtime-sessions-cookies
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value
https://owasp.org/www-community/SameSite

Ubicación: México

Comentarios

Publicar un comentario

Aprende Yii2


Lo más Visto

Guía rápida para uso de widget kartik para select para formulario

Imagen
En esta guía te enseñaré cómo utilizar de manera simple y rápida el widget para select de kartik Nota: Este video tutorial de ejemplo contiene un ejemplo parecido al de éste post.  Introducción. Algunas veces necesitamos algunas opciones más avanzadas para algunos formularios, para esos casos puedes utilizar este pluging que al día en el que estoy escribiendo éste artículo es popular. A continuación te muestro como utilizar éste componente en los siguientes pasos. Paso #1. Instalación de widget. Si aun no lo tienes instalado deberás instalarlo para poder utilizarlo, el nombre del widget es:      use kartik\select2\Select2; Por lo tanto deberás incluir ésta librería dentro de tu vista. Paso #2. Obtener arreglo con opciones que se cargarán en el menú. Este proceso es muy simular al que se hace regularmente, sólo asegúrate de estar recibiendo en la vista el formato adecuado. Existen varias opciones para convertir un...
Leer más

Cómo instalar RBAC

Imagen
Cómo instalar RBAC En el presente tutorial se mostrará cómo instalar y poner a operar la gestión de acceso el RBAC. 1.- Introducción  Yii provee dos métodos de autorización:  RBAC p or sus siglas en inglés (Rol Based Access Control) y ACF (Access Control Filter) . 2.- Instalación y configuración Agregar la siguiente linea en el composer.json "mdmsoft/yii2-admin": "~2.0" Y ejecutamos el comando en la ruta raiz composer update Ahora tenemos que agregar la siguientes lineas, que están en negritas dentro del el archivo de configuración de la aplicación consola, que normalmente en la plantilla básica está en la ruta: "/config/console.php" y en la plantilla avanzada en "console/config/main.php". Para mayor información sobre aplicaciones de consola en Yii puedes consultar este artículo sobre aplicaciones de consola en Yii.   'components' => [         'authManager' => [        ...
Leer más

Agregar select en encabezado de busqueda de un GridView

Imagen
Agregar select en encabezado de búsqueda de un GridView Escenario:   Tenemos un listado de tipo  GridView  y queremos filtrar dicho listado, una opción muy útil es utilizar en el encabezado un select.   A continuación explico como podemos agregar un select como encabezado de columna dentro de un GridView, con ayuda de los componentes de karkit. Paso #1 Revisar si tenemos instalado  kartik\grid\GridView Revisar si se tiene instalado el siguiente componente componente, la manera más rápida de saber si está instalado es incluyendo la librería en la vista de la siguiente manera. use kartik\grid\GridView; Si sale un mensaje de error, significará que probablemente no está instalado, p ara instalarlo puedes ir a este link;   http://demos.krajee.com/grid  ó puede instalarlo de la siguiente manera. Busque su archivo "composer.json" y abralo, identifique la sección llamada "require-dev", donde se encuentra la lista de componentes...
Leer más

Prueba unitarias de calidad

Esta es una guía que te ayudará a programar con calidad y evitar el retrabajo y bugs en el futuro.  Algo que podria parecer obvio pero que muchos no aplicamos en el desarrollo de sistemas de información es utilizar un checklist de calidad que te evitara tener que hacer retrabajo en el futuro y elevar los costos de desarrollo. ¿Por que no hacer las cosas bien desde el principio? Con este check list podriamos evitarnos muchos dolores de cabeza en el futuro de nuestros desarrollos y así ser programadores altamente valorados y eficientes, a continuación les dejo este checklist que aplica para todos los lenguajes de programación.  Validar campos numericos.   Los campos numericos pueden causar muchos conflictos si no se analizan bien desde el principio, por lo cual debes tomar en cuanta los siguientes puntos.  Validar entradas minimas y máximos que puedan causar errores de lógica en el futuro, por ejemplo numeros negativos o numeros muy grandes que pueden causar errores de...
Leer más

hostinger

ventana bienvenida