Cómo manipular la propiedad sameSite para prevenir "Cross-Site Request Forgery"

 Cómo agragar sameSite para prevenir "Cross-Site Request Forgery"

En el presente tutorial se muestra cómo habilitar la medida de seguridad "sameSite" para prevenir la vulnerabilidad llamada "Cross-Site Request Forgery".

Como referencia puedes hacer la prueba antes de hacer la presente modificación dando clic derecho en tu navegador, en este caso estoy utilizado el navegador Chrome y dando clic en la opción de "Application" despues en "Cookies" y en seguida selecciono el sitio correspondiente, aparecera algo como lo siguiente:



Observa que en donde dice "SameSite" esta vacio, esto indica que no se tiene dicha medida de seguridad. 

Entonces para cambiarla yo estoy realizando este ejercicio con PHP 8.1 y Yii 
2.0.47, que de acuerdo a la documentación de Yii esto sólo funciona a partir de la version 2.0.21 o superior.

Deberá entrar al archivo de configuración según su plantilla, en mi caso tengo la básica por lo que entraré a "config/web.php" y agregaré la siguiente configuración.


'components' => [
       
 'session'=>[
            'cookieParams' => [ 
                'httpOnly' => true,
                'secure' => true,
                'sameSite' => PHP_VERSION_ID >= 70300 ? yii\web\Cookie::SAME_SITE_LAX : null,
            ]
        ],

]



Observe que dicha configuración debe estar dentro de los corchetes de "component" y dentro de una propiedad llamada "session", las primeras dos configuraciones 'httpOnly' y 'secure' son opcionales aun que yo recomiendo agregarlas, y la tercera propiedad  'sameSite' es la que hará el trabajo de agregar a seguridad de 'sameSite' para evitar "Cross-Site Request Forgery".

Una vez que se aplique la propiedad, si todo esta bien deberá aparecer de la siguiente manera: 





Referencias: 

https://www.yiiframework.com/doc/guide/2.0/en/runtime-sessions-cookies
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#samesitesamesite-value
https://owasp.org/www-community/SameSite

Ubicación: México

Comentarios

Publicar un comentario

Aprende Yii2


Lo más Visto

Tutorial de implementación de calendario de rango de fechas con Karkit en gridView

Imagen
Tutorial de implementación de calendario de rango de fechas con Karkit en gridView. Artículo actualizado: 12 de Marzo de 2024 Este tutorial muestra un ejemplo de cómo implementar el calendario de karkit de rango de fechas dentro de un filtro de un gridView. Nota importante: Esta es una adaptación no oficial del uso del calendario dentro de un gridview, ya que en la documentación oficial Que para los que van comenzando con Yii2 podría resultar un poco tardado y no encontré un tutorial que lo explicara de forma clara. Asi pues les dejo este tutorial esperando que les sea de utilidad. PASO # 1 .- Agregar la columna para el calendario del gridview. Se debe de agregar dentro de la vista la columna donde irá el filtro, recordar que se tiene que agregar previamente el componente de karkit dentro de la vista. Deberá tener instalada el siguiente plugin use kartik\daterange\DateRangePicker; [               ...
Leer más

Exportar a Excel listado GridView

Imagen
Exportar a Excel listado GridView En el siguiente ejemplo veras cómo agregar un menú para exportar a Excel utilizando un GridView, con el pluging de kartik.  Requisitos Para este ejemplo necesitaras utilizar dos plugins llamados. GridView de kartik Export de kartik El componente de "export" te permite exportar todos los datos de tu base de datos, a varios formatos por ejemplo: (Excel, HTML, Pdf, CSC, Texto) utilizando la librería "PHP Spreadsheet".  La extensión simplifica el exportar a través de un menú que se genera de manera automática. Esta librería extiende la funcionalidad del widget "kartik\grid\GridView" y puede ser configurado con  un "dataProvider" y las propiedades de las columnas como cualquier "GridView". Sin embargo, la diferencia es que el widget será usado para exportar los datos completos y por lo tanto no será exportado de manera predeterminada. Ejemplo de Menú para exportar a Exel utilizando un GridView En el...
Leer más

Cómo instalar RBAC

Imagen
Cómo instalar RBAC En el presente tutorial se mostrará cómo instalar y poner a operar la gestión de acceso el RBAC. 1.- Introducción  Yii provee dos métodos de autorización:  RBAC p or sus siglas en inglés (Rol Based Access Control) y ACF (Access Control Filter) . 2.- Instalación y configuración Agregar la siguiente linea en el composer.json "mdmsoft/yii2-admin": "~2.0" Y ejecutamos el comando en la ruta raiz composer update Ahora tenemos que agregar la siguientes lineas, que están en negritas dentro del el archivo de configuración de la aplicación consola, que normalmente en la plantilla básica está en la ruta: "/config/console.php" y en la plantilla avanzada en "console/config/main.php". Para mayor información sobre aplicaciones de consola en Yii puedes consultar este artículo sobre aplicaciones de consola en Yii.   'components' => [         'authManager' => [        ...
Leer más

Ejemplos de Gráficas con Highcharts

Imagen
Ejemplos de Gráficas con Highcharts Ejemplos de gráficas utilizando la exención de Yii2 Highcharts. Un día en búsqueda de documentación para gráficas no encontré ningún sitio dónde encontrar ejemplos de cómo utilizar gráficas que si bien en la página de la documentación está para JS pero no para código Yii2. Por esta razón les dejaré éste tutorial donde explica el uso de algunas gráfica. Antes de poder utilizar éste componente debe de asegurarse de tener instalado el componente.  Instalación de componente  Highcharts La opción para instalarlo via composer es la siguiente. php composer.phar require --prefer-dist miloschuman/yii2-highcharts-widget "*" o si lo prefieres modificando el "composer.json" agregando ésta línea "miloschuman/yii2-highcharts-widget": "*" Una vez que está instalado y para verificar que esté funcionando puedes agregar la siguiente línea en la vista.  use miloschuman...
Leer más

Agregar select en encabezado de busqueda de un GridView

Imagen
Agregar select en encabezado de búsqueda de un GridView Escenario:   Tenemos un listado de tipo  GridView  y queremos filtrar dicho listado, una opción muy útil es utilizar en el encabezado un select.   A continuación explico como podemos agregar un select como encabezado de columna dentro de un GridView, con ayuda de los componentes de karkit. Paso #1 Revisar si tenemos instalado  kartik\grid\GridView Revisar si se tiene instalado el siguiente componente componente, la manera más rápida de saber si está instalado es incluyendo la librería en la vista de la siguiente manera. use kartik\grid\GridView; Si sale un mensaje de error, significará que probablemente no está instalado, p ara instalarlo puedes ir a este link;   http://demos.krajee.com/grid  ó puede instalarlo de la siguiente manera. Busque su archivo "composer.json" y abralo, identifique la sección llamada "require-dev", donde se encuentra la lista de componentes...
Leer más

hostinger

ventana bienvenida