"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "cosè-il-csrf", "hProperties": { "id": "cosè-il-csrf" } }, "depth": 2, "value": "Cos'è il CSRF?" }, { "data": { "id": "come-funziona-il-csrf", "hProperties": { "id": "come-funziona-il-csrf" } }, "depth": 2, "value": "Come funziona il CSRF" }, { "data": { "id": "regola-della-stessa-origine-del-browser", "hProperties": { "id": "regola-della-stessa-origine-del-browser" } }, "depth": 3, "value": "Regola della stessa origine del browser" }, { "data": { "id": "meccanismo-automatico-di-invio-dei-cookie", "hProperties": { "id": "meccanismo-automatico-di-invio-dei-cookie" } }, "depth": 3, "value": "Meccanismo automatico di invio dei cookie" }, { "data": { "id": "fasi-dellattacco-csrf", "hProperties": { "id": "fasi-dellattacco-csrf" } }, "depth": 3, "value": "Fasi dell'attacco CSRF" }, { "data": { "id": "esempio-di-attacco-csrf", "hProperties": { "id": "esempio-di-attacco-csrf" } }, "depth": 2, "value": "Esempio di attacco CSRF" }, { "data": { "id": "metodi-comuni-per-prevenire-attacchi-csrf", "hProperties": { "id": "metodi-comuni-per-prevenire-attacchi-csrf" } }, "depth": 2, "value": "Metodi comuni per prevenire attacchi CSRF" }, { "data": { "id": "usare-i-token-csrf", "hProperties": { "id": "usare-i-token-csrf" } }, "depth": 3, "value": "Usare i token CSRF" }, { "data": { "id": "controllo-dellintestazione-referer", "hProperties": { "id": "controllo-dellintestazione-referer" } }, "depth": 3, "value": "Controllo dell'intestazione Referer" }, { "data": { "id": "uso-dellattributo-samesite-nei-cookie", "hProperties": { "id": "uso-dellattributo-samesite-nei-cookie" } }, "depth": 3, "value": "Uso dell'attributo SameSite nei cookie" }, { "data": { "id": "uso-di-intestazioni-di-richiesta-personalizzate", "hProperties": { "id": "uso-di-intestazioni-di-richiesta-personalizzate" } }, "depth": 3, "value": "Uso di intestazioni di richiesta personalizzate" }, { "data": { "id": "verifica-doppia-dei-cookie", "hProperties": { "id": "verifica-doppia-dei-cookie" } }, "depth": 3, "value": "Verifica doppia dei cookie" }, { "data": { "id": "uso-della-riautenticazione-per-operazioni-sensibili", "hProperties": { "id": "uso-della-riautenticazione-per-operazioni-sensibili" } }, "depth": 3, "value": "Uso della riautenticazione per operazioni sensibili" }, { "data": { "id": "sommario", "hProperties": { "id": "sommario" } }, "depth": 2, "value": "Sommario" }]; const readingTime = { "minutes": 6, "words": 1901, "text": "6 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Quando si lavora nello sviluppo web, soprattutto con i cookie, sentiamo spesso frasi come \"questa impostazione aiuta a prevenire il CSRF\". Tuttavia, molte persone hanno solo un'idea vaga di cosa significhi veramente \"CSRF\"." }), "\n", _jsx(_components.p, { children: "Oggi, approfondiremo il CSRF (Cross-Site Request Forgery), una comune vulnerabilità della sicurezza web. Questo ci aiuterà a gestire i problemi legati al CSRF in modo più efficace." }), "\n", _jsxs(_components.h2, { id: "cosè-il-csrf", children: ["Cos'è il CSRF?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#cosè-il-csrf", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Il CSRF (Cross-Site Request Forgery) è un tipo di attacco web dove gli attaccanti ingannano gli utenti autenticati facendo eseguire azioni non desiderate. In termini semplici, sono \"hacker che fingono di essere utenti per eseguire azioni non autorizzate\"." }), "\n", _jsxs(_components.h2, { id: "come-funziona-il-csrf", children: ["Come funziona il CSRF", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#come-funziona-il-csrf", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Per comprendere il CSRF, dobbiamo afferrare alcuni concetti chiave:" }), "\n", _jsxs(_components.h3, { id: "regola-della-stessa-origine-del-browser", children: ["Regola della stessa origine del browser", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#regola-della-stessa-origine-del-browser", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "La regola della stessa origine è una funzione di sicurezza nei browser che limita il modo in cui un documento o script da un'origine può interagire con risorse da un'altra origine." }), "\n", _jsxs(_components.p, { children: ["Un'origine consiste di un protocollo (come HTTP o HTTPS), nome di dominio e numero di porta. Ad esempio, ", _jsx(_components.code, { children: "https://example.com:443" }), " è un'origine, mentre ", _jsx(_components.code, { children: "https://demo.com:80" }), " è un'altra."] }), "\n", _jsx(_components.p, { children: "La regola della stessa origine limita l'accesso ai dati tra pagine di origini diverse, significando:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "JavaScript da un'origine non può leggere il DOM di un'altra origine" }), "\n", _jsx(_components.li, { children: "JavaScript da un'origine non può leggere il Cookie, IndexedDB o localStorage di un'altra origine" }), "\n", _jsx(_components.li, { children: "JavaScript da un'origine non può inviare richieste AJAX a un'altra origine (a meno che non si utilizzi CORS)" }), "\n"] }), "\n", _jsx(_components.p, { children: "Tuttavia, per mantenere l'apertura e l'interoperabilità del Web (come il caricamento di risorse da CDN o l'invio di richieste a API di terze parti per logging), la regola della stessa origine non limita le richieste di rete cross-origin:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "Le pagine possono inviare richieste GET o POST a qualsiasi origine (come caricamento di immagini o invio di moduli)" }), "\n", _jsxs(_components.li, { children: ["Risorse da qualsiasi origine possono essere incluse (come tag ", _jsx(_components.code, { children: "\n \n\n" }) }), "\n", _jsxs(_components.p, { children: ["Quando l'utente clicca sul link ", _jsx(_components.code, { children: "https://evil.com" }), " senza aver fatto logout dal suo account bancario, perché è già connesso a ", _jsx(_components.code, { children: "bank.com" }), ", il browser dispone di un cookie ", _jsx(_components.code, { children: "session_id" }), " valido."] }), "\n", _jsxs(_components.p, { children: ["Dopo che la pagina malevola si carica, invia automaticamente il modulo nascosto, inviando una richiesta di trasferimento a ", _jsx(_components.code, { children: "https://bank.com/transfer" }), "."] }), "\n", _jsxs(_components.p, { children: ["Il browser dell'utente allega automaticamente il cookie ", _jsx(_components.code, { children: "bank.com" }), " a questa richiesta. Il server di ", _jsx(_components.code, { children: "bank.com" }), " riceve la richiesta, verifica che il cookie sia valido, e quindi esegue questa operazione di trasferimento non autorizzata."] }), "\n", _jsxs(_components.h2, { id: "metodi-comuni-per-prevenire-attacchi-csrf", children: ["Metodi comuni per prevenire attacchi CSRF", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#metodi-comuni-per-prevenire-attacchi-csrf", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Ecco diversi metodi comunemente utilizzati per difendersi dagli attacchi CSRF. Spiegheremo in dettaglio il principio di ciascun metodo e come previene efficacemente gli attacchi CSRF:" }), "\n", _jsxs(_components.h3, { id: "usare-i-token-csrf", children: ["Usare i token CSRF", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#usare-i-token-csrf", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "I token CSRF sono uno dei metodi più comuni ed efficaci per difendersi dagli attacchi CSRF. Ecco come funziona:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Il server genera un token unico e imprevedibile per ogni sessione." }), "\n", _jsx(_components.li, { children: "Questo token è incorporato in tutti i moduli per operazioni sensibili." }), "\n", _jsx(_components.li, { children: "Quando l'utente invia un modulo, il server verifica la validità del token." }), "\n"] }), "\n", _jsx(_components.p, { children: "Poiché il token CSRF è un valore unico legato alla sessione dell'utente, e l'attaccante non può conoscere o indovinare questo valore (poiché è diverso per ogni sessione), anche se l'attaccante inganna l'utente a inviare una richiesta, la richiesta sarà respinta dal server a causa della mancanza di un token CSRF valido." }), "\n", _jsx(_components.p, { children: "Esempio di implementazione:" }), "\n", _jsx(_components.p, { children: "Sul lato server (usando Node.js e Express):" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "const express = require('express');\nconst crypto = require('crypto');\nconst app = express();\n\n// Generare token CSRF\nfunction generateCSRFToken() {\n return crypto.randomBytes(16).toString('hex');\n}\n\n// Middleware di protezione CSRF\napp.use((req, res, next) => {\n if (req.method === 'GET') {\n // Generare nuovo token CSRF per ogni richiesta GET\n req.session.csrfToken = generateCSRFToken();\n } else if (['POST', 'PUT', 'DELETE'].includes(req.method)) {\n // Verificare token CSRF\n const submittedToken = req.body._csrf || req.headers['x-csrf-token'];\n if (submittedToken !== req.session.csrfToken) {\n return res.status(403).json({ error: 'CSRF token validation failed' });\n }\n }\n next();\n});\n" }) }), "\n", _jsx(_components.p, { children: "In JavaScript frontend:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "// Inviare richiesta con token CSRF\nasync function sendRequestWithCSRFToken(url, method, data) {\n const csrfToken = document.querySelector('meta[name=\"csrf-token\"]').getAttribute('content');\n const response = await fetch(url, {\n method: method,\n headers: {\n 'Content-Type': 'application/json',\n 'X-CSRF-Token': csrfToken\n },\n body: JSON.stringify(data)\n });\n return response.json();\n}\n" }) }), "\n", _jsxs(_components.h3, { id: "controllo-dellintestazione-referer", children: ["Controllo dell'intestazione ", _jsx(_components.code, { children: "Referer" }), _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#controllo-dellintestazione-referer", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["L'intestazione ", _jsx(_components.code, { children: "Referer" }), " contiene l'URL della pagina che ha avviato la richiesta. Controllando l'intestazione ", _jsx(_components.code, { children: "Referer" }), ", il server può determinare se la richiesta proviene da una fonte legittima."] }), "\n", _jsxs(_components.p, { children: ["Poiché gli attacchi CSRF di solito provengono da domini diversi, l'intestazione ", _jsx(_components.code, { children: "Referer" }), " mostrerà il nome di dominio dell'attaccante. Verificando se il ", _jsx(_components.code, { children: "Referer" }), " è il valore atteso, le richieste da fonti sconosciute possono essere bloccate."] }), "\n", _jsx(_components.p, { children: "Tuttavia, è importante notare che questo metodo non è del tutto affidabile, poiché alcuni browser potrebbero non inviare l'intestazione Referer, e gli utenti possono disabilitare l'intestazione Referer tramite le impostazioni del browser o i plugin." }), "\n", _jsx(_components.p, { children: "Esempio di implementazione:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "function checkReferer(req) {\n const referer = req.get('Referer');\n return referer && referer.startsWith('https://yourwebsite.com');\n}\n\napp.use((req, res, next) => {\n if (['POST', 'PUT', 'DELETE'].includes(req.method) && !checkReferer(req)) {\n return res.status(403).json({ error: 'Invalid referer' });\n }\n next();\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "uso-dellattributo-samesite-nei-cookie", children: ["Uso dell'attributo SameSite nei cookie", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#uso-dellattributo-samesite-nei-cookie", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "SameSite" }), " è un attributo dei cookie utilizzato per controllare se i cookie sono inviati con richieste cross-site. Ha tre valori possibili:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "Strict" }), ": I cookie sono inviati solo in richieste same-site."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "Lax" }), ": I cookie sono inviati in richieste same-site e navigazioni a livello superiore."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "None" }), ": I cookie sono inviati in tutte le richieste cross-site (devono essere usati con l'attributo ", _jsx(_components.code, { children: "Secure" }), ")."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Quando ", _jsx(_components.code, { children: "SameSite" }), " è impostato su ", _jsx(_components.code, { children: "Strict" }), ", può prevenire completamente i siti web di terze parti dall'inviare cookie, prevenendo così efficacemente gli attacchi CSRF.\nSe ", _jsx(_components.code, { children: "SameSite" }), " è impostato su ", _jsx(_components.code, { children: "Lax" }), ", protegge le operazioni sensibili consentendo alcuni casi d'uso cross-site comuni (come entrare in un sito web da link esterni)."] }), "\n", _jsx(_components.p, { children: "Esempio di implementazione:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "res.cookie('session_id', 'abc123', {\n httpOnly: true,\n secure: true,\n sameSite: 'strict'\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "uso-di-intestazioni-di-richiesta-personalizzate", children: ["Uso di intestazioni di richiesta personalizzate", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#uso-di-intestazioni-di-richiesta-personalizzate", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Per le richieste AJAX, possono essere aggiunte intestazioni di richiesta personalizzate. A causa delle restrizioni della regola della stessa origine, gli attaccanti non possono impostare intestazioni personalizzate in richieste cross-origin. Il server può controllare la presenza di questa intestazione personalizzata per verificare la legittimità della richiesta." }), "\n", _jsx(_components.p, { children: "Esempio di implementazione:" }), "\n", _jsx(_components.p, { children: "Sul frontend:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "fetch('/api/data', {\n method: 'POST',\n headers: {\n 'Content-Type': 'application/json',\n 'X-Requested-With': 'XMLHttpRequest'\n },\n body: JSON.stringify(data)\n});\n" }) }), "\n", _jsx(_components.p, { children: "Sul lato server:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-javascript", children: "app.use((req, res, next) => {\n if (req.xhr || req.headers['x-requested-with'] === 'XMLHttpRequest') {\n // Gestisci richiesta AJAX\n } else {\n // Gestisci richiesta non AJAX\n }\n next();\n});\n" }) }), "\n", _jsxs(_components.h3, { id: "verifica-doppia-dei-cookie", children: ["Verifica doppia dei cookie", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#verifica-doppia-dei-cookie", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "La verifica doppia dei cookie è una tecnica di difesa CSRF efficace. Il suo principio di base è che il server genera un token casuale, lo imposta sia come cookie sia lo incorpora nella pagina (di solito come campo nascosto di un modulo). Quando il browser invia una richiesta, include automaticamente il cookie, mentre il JavaScript della pagina invia il token come parametro di richiesta. Il server verifica poi se il token nel cookie corrisponde al token nei parametri di richiesta." }), "\n", _jsx(_components.p, { children: "Anche se gli attaccanti possono includere il cookie del sito target in richieste cross-site, non possono leggere o modificare il valore del cookie, né possono accedere o modificare il valore del token nella pagina. Richiedendo che la richiesta includa token sia dal cookie sia dai parametri, si garantisce che la richiesta provenga da una fonte con permesso di leggere il cookie, difendendo così efficacemente contro gli attacchi CSRF." }), "\n", _jsxs(_components.h3, { id: "uso-della-riautenticazione-per-operazioni-sensibili", children: ["Uso della riautenticazione per operazioni sensibili", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#uso-della-riautenticazione-per-operazioni-sensibili", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Per operazioni particolarmente sensibili (come cambiare password o effettuare trasferimenti di grandi somme), gli utenti possono essere richiesti di riautenticarsi.\nQuesto fornisce agli utenti un ulteriore punto di controllo della sicurezza. Anche se un utente riesce a iniziare un attacco CSRF, non può superare il passaggio di riautenticazione." }), "\n", _jsx(_components.p, { children: "Suggerimenti per l'implementazione:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: "Prima di eseguire operazioni sensibili, reindirizzare a una pagina di autenticazione separata." }), "\n", _jsx(_components.li, { children: "Su questa pagina, richiedere all'utente di inserire la sua password o altre informazioni di verifica dell'identità." }), "\n", _jsx(_components.li, { children: "Dopo che la verifica viene superata, generare un token una tantum e usarlo in operazioni sensibili successive." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "sommario", children: ["Sommario", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sommario", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Attraverso questa discussione approfondita, speriamo tu abbia ora una comprensione più completa degli attacchi CSRF.\nNon abbiamo solo imparato come funziona il CSRF ma anche esplorato varie misure di difesa efficaci. Tutti questi metodi possono migliorare efficacemente la sicurezza delle applicazioni web." }), "\n", _jsx(_components.p, { children: "Speriamo che questa conoscenza ti aiuti a gestire meglio i problemi legati al CSRF nel tuo sviluppo quotidiano e a costruire applicazioni web più sicure." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }