In lumea digitala de astazi, securitatea aplicatiilor web este mai importanta ca niciodata. Cu un numar tot mai mare de atacuri cibernetice, dezvoltatorii si administratorii de site-uri trebuie sa fie vigilenti in protejarea aplicatiilor lor. Doua dintre cele mai comune si periculoase amenintari sunt atacurile XSS (Cross-Site Scripting) si CSRF (Cross-Site Request Forgery). Acest articol va ofera o perspectiva detaliata asupra prevenirii acestor atacuri si va arata cum puteti proteja aplicatiile web impotriva lor.
Ce sunt atacurile XSS?
Atacurile XSS sunt un tip de vulnerabilitate de securitate care permit atacatorilor sa injecteze scripturi daunatoare in paginile web vizualizate de alti utilizatori. Aceste scripturi pot fura informatii sensibile, cum ar fi cookie-uri, sau pot modifica continutul paginii fara ca utilizatorul sa stie.
Cum functioneaza atacurile XSS?
Atacurile XSS functioneaza prin exploatarea lipsei de validare a intrarii utilizatorului. Un atacator poate introduce un cod JavaScript daunator intr-un camp de formular sau intr-un URL, care apoi este executat de browserul victimei. Exista trei tipuri principale de atacuri XSS:
- Reflected XSS: Codul daunator este trimis si executat imediat printr-un link.
- Stored XSS: Codul daunator este stocat pe server si executat de fiecare data cand o pagina este vizualizata.
- DOM-based XSS: Atacul este executat prin manipularea DOM-ului clientului.
Aceste atacuri pot exploata diverse vulnerabilitati ale aplicatiilor web, inclusiv lipsa de sanitizare a datelor si esaparea necorespunzatoare a intrarilor utilizatorilor. Atacurile XSS sunt periculoase deoarece permit atacatorilor sa ocoleasca masurile de securitate ale browserului si sa obtina acces neautorizat la datele utilizatorilor sau sa efectueze actiuni in numele acestora.
Prevenirea atacurilor XSS
Prevenirea XSS implica mai multe masuri de securitate care trebuie implementate atat pe partea clientului, cat si pe partea serverului. Iata cateva strategii cheie:
1. Validarea si esaparea intrarilor utilizatorului
Asigurati-va ca toate intrarile utilizatorului sunt validate si esapate corespunzator. Utilizati functii de esapare pentru a transforma caracterele speciale in entitati HTML inainte de a le afisa pe pagina web.
Validarea intrarilor se face prin verificarea datelor introduse de utilizatori, asigurandu-va ca acestea respecta formatul si limitele asteptate. Esaparea, pe de alta parte, implica transformarea caracterelor speciale precum <, >, &, ‘ si ” in entitati HTML, prevenind astfel interpretarea lor ca si cod HTML sau JavaScript.
2. Utilizarea Content Security Policy (CSP)
Content Security Policy (CSP) este un standard de securitate care ajuta la prevenirea atacurilor XSS prin controlul surselor de continut care pot fi incarcate si executate de un browser. Configurand o CSP adecvata, puteti limita executarea scripturilor doar la surse de incredere.
CSP functioneaza prin definirea unei politici care specifica ce tipuri de continut sunt permise si de unde pot fi incarcate. De exemplu, puteti configura CSP pentru a permite incarcarea scripturilor doar de pe acelasi domeniu sau de pe domenii specifice aprobate.
3. Sanitizarea datelor
Utilizati biblioteci de sanitizare a datelor pentru a curata intrarile utilizatorului si a elimina orice cod potential daunator. Acest lucru este esential mai ales atunci cand lucrati cu date HTML sau JavaScript din surse necontrolate.
Exista numeroase biblioteci disponibile pentru diferite limbaje de programare care pot fi utilizate pentru a sanitiza datele. De exemplu, in PHP puteti utiliza functii precum `htmlspecialchars()` sau `filter_var()` pentru a curata si valida datele.
Ce sunt atacurile CSRF?
CSRF, sau Cross-Site Request Forgery, este un tip de atac care forteaza un utilizator autenticat sa efectueze actiuni nedorite pe o aplicatie web in care este autentificat. Acest tip de atac este posibil atunci cand un atacator exploateaza sesiunile active ale utilizatorilor pentru a trimite cereri daunatoare in numele lor.
Cum functioneaza atacurile CSRF?
Atacurile CSRF functioneaza prin trimiterea unei cereri daunatoare catre un site web in care victima este autentificata. Atacatorul creeaza un link sau un formular care, atunci cand este accesat de victima, trimite o cerere catre server fara ca victima sa stie. Deoarece cererea este trimisa cu cookie-urile victimei, serverul o considera valida.
De exemplu, un atacator poate crea un formular HTML ascuns care trimite o cerere POST catre un site web vulnerabil. Daca victima este autentificata pe acel site si acceseaza pagina cu formularul ascuns, cererea va fi trimisa cu cookie-urile de sesiune ale victimei, permitand atacatorului sa efectueze actiuni in numele victimei.
Prevenirea atacurilor CSRF
Prevenirea CSRF necesita implementarea unor masuri de securitate care sa protejeze aplicatiile web impotriva cererilor neautorizate. Iata cateva strategii esentiale:
1. Utilizarea token-urilor CSRF
Una dintre cele mai eficiente metode de prevenire a atacurilor CSRF este utilizarea token-urilor CSRF. Aceste token-uri sunt generate de server si incluse in fiecare formular sau cerere. Serverul verifica token-ul la primirea cererii, asigurandu-se ca provine dintr-o sursa legitima.
Token-urile CSRF sunt valori unice, generate aleatoriu, care sunt incluse ca parte a formularului sau a cererii HTTP. Acestea sunt verificate pe server pentru a se asigura ca cererea este legitima. In PHP, puteti genera un token CSRF utilizand functia `bin2hex(random_bytes(32))` si il puteti stoca in sesiunea utilizatorului.
2. Validarea referer-ului
O alta metoda de prevenire a CSRF este validarea header-ului referer al cererii. Astfel, serverul verifica daca cererea provine de la un URL de incredere inainte de a o procesa.
Validarea referer-ului presupune verificarea URL-ului sursa al cererii. Este important sa retineti ca referer-ul nu este intotdeauna disponibil, deoarece poate fi blocat de configuratiile de securitate ale browserului sau de firewall-uri.
3. Folosirea metodei POST pentru cererile sensibile
Folositi metoda HTTP POST pentru cererile care modifica date sensibile sau efectueaza actiuni critice. Metoda POST este mai putin susceptibila la atacuri CSRF comparativ cu metoda GET.
Metoda GET este de obicei utilizata pentru cereri care nu modifica starea serverului, in timp ce metoda POST este utilizata pentru cereri care implica modificari ale datelor. Utilizarea metodei POST adauga un strat suplimentar de securitate, deoarece cererile POST nu pot fi initiate accidental prin accesarea unui link.
Implementarea tehnicilor de prevenire XSS si CSRF
Este esential sa implementati atat tehnicile de prevenire XSS, cat si CSRF pentru a asigura o protectie completa a aplicatiilor web. Iata cum puteti face acest lucru in practica:
1. Configurarea CSP in serverul web
Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none';Adaugati aceasta directiva in configuratia serverului pentru a controla ce surse de continut sunt permise.
Configurarea CSP se face de obicei in fisierul de configurare al serverului web sau prin intermediul headerelor HTTP. Este recomandat sa permiteti incarcarea continutului doar de pe acelasi domeniu (`’self’`) si sa blocati sursele externe, cu exceptia cazului in care sunt absolut necesare.
2. Generarea si verificarea token-urilor CSRF
// PHP example
session_start();
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if (hash_equals($_SESSION['token'], $_POST['token'])) {
// Procesati cererea
}Generarea token-urilor CSRF se face la inceputul sesiunii utilizatorului, iar acestea sunt incluse in formulare ca input-uri ascunse. La primirea unei cereri, serverul verifica daca token-ul primit corespunde cu cel stocat in sesiune pentru a valida cererea.
Concluzie
Prevenirea atacurilor XSS si CSRF este cruciala pentru securitatea aplicatiilor web. Prin implementarea masurilor de securitate discutate in acest articol, puteti reduce semnificativ riscul acestor atacuri. Nu uitati sa ramaneti informat si sa actualizati constant strategiile de securitate pentru a face fata noilor amenintari.
Este important sa intelegeti ca securitatea aplicatiilor web nu este o sarcina unica, ci un proces continuu. Pe masura ce apar noi tehnologii si metode de atac, trebuie sa va adaptati si sa imbunatatiti constant masurile de securitate pentru a proteja datele utilizatorilor si integritatea aplicatiilor web.
Recenzie scrisă de Marian Dragomir
Editor-Șef & Specialist Hosting • Actualizat: 25 aprilie 2026
Fondator și editor-șef al ReviewHosting.ro, cu peste 10 ani de experiență în administrarea serverelor și evaluarea serviciilor de web hosting. Specialist certificat în infrastructură web, cu experiență practică în gestionarea serverelor dedicate, VPS-uri și soluții cloud pentru clienți din România și Europa. Testează personal fiecare furnizor de hosting inclus în platformă, monitorizând uptime-ul, viteza și calitatea suportului tehnic.
