Cómo manipular la propiedad sameSite para prevenir "Cross-Site Request Forgery"

 Cómo agragar sameSite para prevenir "Cross-Site Request Forgery"

En el presente tutorial se muestra cómo habilitar la medida de seguridad "sameSite" para prevenir la vulnerabilidad llamada "Cross-Site Request Forgery".

Como referencia puedes hacer la prueba antes de hacer la presente modificación dando clic derecho en tu navegador, en este caso estoy utilizado el navegador Chrome y dando clic en la opción de "Application" despues en "Cookies" y en seguida selecciono el sitio correspondiente, aparecera algo como lo siguiente:



Observa que en donde dice "SameSite" esta vacio, esto indica que no se tiene dicha medida de seguridad. 

Entonces para cambiarla yo estoy realizando este ejercicio con PHP 8.1 y Yii 
2.0.47, que de acuerdo a la documentación de Yii esto sólo funciona a partir de la version 2.0.21 o superior.

Deberá entrar al archivo de configuración según su plantilla, en mi caso tengo la básica por lo que entraré a "config/web.php" y agregaré la siguiente configuración.


'components' => [
       
 'session'=>[
            'cookieParams' => [ 
                'httpOnly' => true,
                'secure' => true,
                'sameSite' => PHP_VERSION_ID >= 70300 ? yii\web\Cookie::SAME_SITE_LAX : null,
            ]
        ],

]



Observe que dicha configuración debe estar dentro de los corchetes de "component" y dentro de una propiedad llamada "session", las primeras dos configuraciones 'httpOnly' y 'secure' son opcionales aun que yo recomiendo agregarlas, y la tercera propiedad  'sameSite' es la que hará el trabajo de agregar a seguridad de 'sameSite' para evitar "Cross-Site Request Forgery".

Una vez que se aplique la propiedad, si todo esta bien deberá aparecer de la siguiente manera: 





Referencias: 

https://www.yiiframework.com/doc/guide/2.0/en/runtime-sessions-cookies
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value
https://owasp.org/www-community/SameSite

Ubicación: México

Comentarios

Publicar un comentario

Aprende Yii2


Lo más Visto

Tutorial de implementación de calendario de rango de fechas con Karkit en gridView

Imagen
Tutorial de implementación de calendario de rango de fechas con Karkit en gridView. Artículo actualizado: 12 de Marzo de 2024 Este tutorial muestra un ejemplo de cómo implementar el calendario de karkit de rango de fechas dentro de un filtro de un gridView. Nota importante: Esta es una adaptación no oficial del uso del calendario dentro de un gridview, ya que en la documentación oficial Que para los que van comenzando con Yii2 podría resultar un poco tardado y no encontré un tutorial que lo explicara de forma clara. Asi pues les dejo este tutorial esperando que les sea de utilidad. PASO # 1 .- Agregar la columna para el calendario del gridview. Se debe de agregar dentro de la vista la columna donde irá el filtro, recordar que se tiene que agregar previamente el componente de karkit dentro de la vista. Deberá tener instalada el siguiente plugin use kartik\daterange\DateRangePicker; [               ...
Leer más

Cómo evitar el reenvío de formulario

Imagen
En este tutorial vamos a ver cómo evitar el envío doble de formularios.  Aviso importante: Esta solución solo trabaja a nivel explorador, no evita el uso de herramientas de inserción de datos con herramientas automatizadas.   Esta solución puede ser implementada a nivel vista o a nivel layout. A nivel individual en la vista puedes colocar el siguiente código en el inicio de la vista.  $js = <<<JS             $(document).on("beforeValidate", "form", function(event, messages, deferreds) {         $(this).find(':submit').attr('disabled', true);          console.log('BEFORE VALIDATE TEST');     }).on("afterValidate", "form", function(event, messages, errorAttributes) {         console.log('AFTER VALIDATE TEST');         if (errorAttributes.length > 0) {             $(this).find(':submit').attr('d...
Leer más

Como instalar Yii en Windows usando App Serv

Imagen
Como instalar Yii en Windows usando AppServ El presente manual fue realizado con el objetivo de explicar paso a paso como instalar el framwork Yii2 para desarrollo en Windows 10 con una pre instalación de AppServ cualquier aportación es bienvenida. Necesitaras. Windows 10. AppServ instalado y funcionando. Una cuenta de  Paso 1. Instalación de Composer. Composer en pocas palabras es un gestor de actualizaciones que en este caso es usado por Yii2 para administrar las actualizaciones que son hechas dentro al framework y sus plugin. Puedes entrar el instalador de composer en la siguiente pagina; https://getcomposer.org/download/ Descarga el instalador he instalo como cualquier programa, obviamos aquí que ya tienes instalado y funcionando AppServ. Si se instalo correctamente entra en modo Shell o linea de comandos y ejecuta el siguiente comando. c:\composer. Mostrara una serie de mensajes de ayuda para utilizar composer, re...
Leer más

hostinger

ventana bienvenida