ஜாவாஸ்கிரிப்ட் பாதுகாப்பு: XSS மற்றும் CSRF தடுப்பதில் தேர்ச்சி பெறுதல்

இன்றைய ஒன்றோடொன்று இணைக்கப்பட்ட டிஜிட்டல் உலகில், இணையப் பயன்பாடுகளைப் பாதுகாப்பது மிக முக்கியமானது. இணையத்தின் மொழியாகிய ஜாவாஸ்கிரிப்ட், ஊடாடும் மற்றும் ஆற்றல்மிக்க பயனர் அனுபவங்களை உருவாக்குவதில் முக்கியப் பங்கு வகிக்கிறது. இருப்பினும், கவனமாகக் கையாளப்படாவிட்டால், அது பாதுகாப்பு பாதிப்புகளையும் ஏற்படுத்தக்கூடும். இந்த விரிவான வழிகாட்டி, இணையப் பாதுகாப்பிற்கு மிகவும் பரவலான இரண்டு அச்சுறுத்தல்களான - கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) மற்றும் கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF) - பற்றி ஆழமாக ஆராய்ந்து, உங்கள் ஜாவாஸ்கிரிப்ட் பயன்பாடுகளில் அவற்றைத் தடுப்பதற்கான நடைமுறை உத்திகளை வழங்குகிறது, இது பல்வேறு பின்னணிகள் மற்றும் நிபுணத்துவம் கொண்ட உலகளாவிய பார்வையாளர்களை இலக்காகக் கொண்டது.

கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) பற்றி புரிந்துகொள்ளுதல்

கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) என்பது ஒரு வகை ஊடுருவல் தாக்குதலாகும், இதில் தீங்கிழைக்கும் ஸ்கிரிப்டுகள் மற்றபடி தீங்கற்ற மற்றும் நம்பகமான வலைத்தளங்களில் செலுத்தப்படுகின்றன. ஒரு தாக்குபவர் ஒரு இணையப் பயன்பாட்டைப் பயன்படுத்தி, பொதுவாக ஒரு பிரவுசர் பக்க ஸ்கிரிப்ட் வடிவில், தீங்கிழைக்கும் குறியீட்டை மற்றொரு இறுதிப் பயனருக்கு அனுப்பும்போது XSS தாக்குதல்கள் நிகழ்கின்றன. இந்தத் தாக்குதல்கள் வெற்றிபெற அனுமதிக்கும் குறைபாடுகள் மிகவும் பரவலாக உள்ளன, மேலும் ஒரு இணையப் பயன்பாடு பயனரிடமிருந்து உள்ளீட்டை சரிபார்க்காமல் அல்லது குறியாக்கம் செய்யாமல் உருவாக்கும் வெளியீட்டில் பயன்படுத்தும் எல்லா இடங்களிலும் இது நிகழ்கிறது.

ஒரு பயனர் ஒரு வலைப்பதிவு இடுகையில் கருத்துத் தெரிவிக்கக்கூடிய ஒரு சூழ்நிலையை கற்பனை செய்து பாருங்கள். சரியான சுத்திகரிப்பு இல்லாமல், ஒரு தாக்குபவர் தனது கருத்தில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டைச் செலுத்த முடியும். மற்ற பயனர்கள் அந்த வலைப்பதிவு இடுகையைப் பார்க்கும்போது, இந்த தீங்கிழைக்கும் ஸ்கிரிப்ட் அவர்களின் பிரவுசர்களில் இயங்குகிறது, இது அவர்களின் குக்கீகளைத் திருடலாம், அவர்களை ஃபிஷிங் தளங்களுக்குத் திருப்பிவிடலாம் அல்லது அவர்களின் கணக்குகளைக் கூட ஹேக் செய்யலாம். இது பயனர்களின் புவியியல் இருப்பிடம் அல்லது கலாச்சாரப் பின்னணியைப் பொருட்படுத்தாமல் உலகளவில் அவர்களைப் பாதிக்கலாம்.

XSS தாக்குதல்களின் வகைகள்

சேமிக்கப்பட்ட (நிலையான) XSS: தீங்கிழைக்கும் ஸ்கிரிப்ட் இலக்கு சேவையகத்தில் நிரந்தரமாக சேமிக்கப்படுகிறது, அதாவது தரவுத்தளம், செய்தி மன்றம் அல்லது கருத்துப் புலம் போன்றவற்றில். ஒரு பயனர் பாதிக்கப்பட்ட பக்கத்தைப் பார்வையிடும் ஒவ்வொரு முறையும், ஸ்கிரிப்ட் இயங்குகிறது. இது மிகவும் ஆபத்தான வகையாகும், ஏனெனில் இது பல பயனர்களைப் பாதிக்கக்கூடும். உதாரணம்: ஒரு மன்றத்தில் சேமிக்கப்பட்ட ஒரு தீங்கிழைக்கும் கருத்து, அந்த மன்றத்தைப் பார்க்கும் பயனர்களைப் பாதிக்கிறது.
பிரதிபலித்த (நிலையற்ற) XSS: தீங்கிழைக்கும் ஸ்கிரிப்ட் URL அல்லது பிற கோரிக்கை அளவுருக்களில் செலுத்தப்பட்டு பயனருக்குத் తిరిగి பிரதிபலிக்கிறது. பயனர் ஒரு தீங்கிழைக்கும் இணைப்பைக் கிளிக் செய்ய அல்லது தாக்குதலைக் கொண்ட ஒரு படிவத்தைச் சமர்ப்பிக்க ஏமாற்றப்பட வேண்டும். உதாரணம்: வினவல் அளவுருக்களில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் செலுத்தப்பட்ட ஒரு இணைப்பைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்.
DOM-அடிப்படையிலான XSS: பாதிப்பு சேவையக பக்கக் குறியீட்டில் இல்லாமல், கிளையன்ட் பக்க ஜாவாஸ்கிரிப்ட் குறியீட்டிலேயே உள்ளது. ஸ்கிரிப்ட் DOM (Document Object Model) ஐ பாதுகாப்பற்ற முறையில் மாற்றும்போது இந்தத் தாக்குதல் நிகழ்கிறது, இது பெரும்பாலும் பயனர் வழங்கிய தரவைப் பயன்படுத்துவதன் மூலம் நிகழ்கிறது. உதாரணம்: `document.URL` ஐப் பயன்படுத்தி தரவைப் பிரித்தெடுத்து, சரியான சுத்திகரிப்பு இல்லாமல் பக்கத்தில் செலுத்தும் ஒரு ஜாவாஸ்கிரிப்ட் பயன்பாடு.

XSS தாக்குதல்களைத் தடுத்தல்: ஒரு உலகளாவிய அணுகுமுறை

XSS-க்கு எதிராகப் பாதுகாக்க, சேவையகப் பக்கம் மற்றும் கிளையன்ட் பக்கம் ஆகிய இரண்டிலும் பாதுகாப்பு நடவடிக்கைகளை உள்ளடக்கிய ஒரு பல-அடுக்கு அணுகுமுறை தேவைப்படுகிறது. இதோ சில முக்கிய உத்திகள்:

உள்ளீட்டு சரிபார்ப்பு: அனைத்து பயனர் உள்ளீடுகளும் எதிர்பார்க்கப்படும் வடிவங்களுக்கும் நீளங்களுக்கும் இணங்குகின்றனவா என்பதை உறுதிப்படுத்த சேவையகப் பக்கத்தில் சரிபார்க்கவும். சந்தேகத்திற்கிடமான எழுத்துகள் அல்லது வடிவங்களைக் கொண்ட எந்த உள்ளீட்டையும் நிராகரிக்கவும். படிவங்கள், URLகள், குக்கீகள் மற்றும் API களில் இருந்து வரும் தரவை சரிபார்ப்பது இதில் அடங்கும். சரிபார்ப்பு விதிகளைச் செயல்படுத்தும்போது பெயரிடல் மரபுகள் மற்றும் முகவரி வடிவங்களில் உள்ள கலாச்சார வேறுபாடுகளைக் கவனியுங்கள்.
வெளியீட்டு குறியாக்கம் (Escaping): HTML இல் காண்பிப்பதற்கு முன் பயனர் வழங்கிய எல்லா தரவையும் குறியாக்கம் செய்யவும். இது தீங்கு விளைவிக்கக்கூடிய எழுத்துக்களை அவற்றின் பாதுகாப்பான HTML கூறுகளாக மாற்றுகிறது. உதாரணமாக, `<` என்பது `<` ஆகவும், `>` என்பது `>` ஆகவும் மாறும். தரவு பயன்படுத்தப்படும் குறிப்பிட்ட சூழலுக்கு (எ.கா., HTML, ஜாவாஸ்கிரிப்ட், CSS) சரியாக குறியாக்கம் செய்யப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த, சூழல்-சார்ந்த குறியாக்கத்தைப் பயன்படுத்தவும். பல சேவையக-பக்க கட்டமைப்புகள் உள்ளமைக்கப்பட்ட குறியாக்க செயல்பாடுகளை வழங்குகின்றன. ஜாவாஸ்கிரிப்டில், HTML ஐ சுத்திகரிக்க DOMPurify அல்லது அது போன்ற நூலகங்களைப் பயன்படுத்தவும்.
உள்ளடக்க பாதுகாப்பு கொள்கை (CSP): பிரவுசர் ஏற்றுவதற்கு அனுமதிக்கப்பட்ட ஆதாரங்களைக் கட்டுப்படுத்த ஒரு கடுமையான உள்ளடக்க பாதுகாப்பு கொள்கையை (CSP) செயல்படுத்தவும். ஸ்கிரிப்டுகள், ஸ்டைல்ஷீட்கள், படங்கள் மற்றும் பிற ஆதாரங்களை எங்கிருந்து ஏற்றலாம் என்பதைக் குறிப்பிடுவதன் மூலம் XSS தாக்குதல்களைத் தடுக்க CSP உதவுகிறது. உங்கள் CSP ஐ `Content-Security-Policy` HTTP தலைப்பு அல்லது `` குறிச்சொல்லைப் பயன்படுத்தி வரையறுக்கலாம். உதாரண CSP கட்டளை: `Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:;` வலுவான பாதுகாப்பை வழங்கும் அதே வேளையில், முறையான செயல்பாடுகளை முடக்காமல் இருக்க உங்கள் CSP ஐ கவனமாக உள்ளமைக்கவும். CSP விதிகளை வரையறுக்கும்போது CDN பயன்பாட்டில் உள்ள பிராந்திய வேறுபாடுகளைக் கருத்தில் கொள்ளுங்கள்.
தானியங்கி எஸ்கேப்பிங்கை வழங்கும் ஒரு கட்டமைப்பைப் பயன்படுத்துங்கள்: ரியாக்ட், ஆங்குலர் மற்றும் வியூ.js போன்ற நவீன ஜாவாஸ்கிரிப்ட் கட்டமைப்புகள், பயனர் வழங்கிய தரவுடன் நேரடி DOM கையாளுதலைத் தடுக்கும் தானியங்கி எஸ்கேப்பிங் மற்றும் டெம்ப்ளேட்டிங் அமைப்புகள் போன்ற உள்ளமைக்கப்பட்ட XSS பாதுகாப்பு வழிமுறைகளை வழங்குகின்றன. XSS பாதிப்புகளின் அபாயத்தைக் குறைக்க இந்த அம்சங்களைப் பயன்படுத்திக் கொள்ளுங்கள்.
நூலகங்கள் மற்றும் கட்டமைப்புகளைத் தவறாமல் புதுப்பிக்கவும்: உங்கள் ஜாவாஸ்கிரிப்ட் நூலகங்களையும் கட்டமைப்புகளையும் சமீபத்திய பாதுகாப்புப் പാച്ചுகளுடன் புதுப்பித்த நிலையில் வைத்திருங்கள். புதிய பதிப்புகளில் பாதிப்புகள் அடிக்கடி கண்டறியப்பட்டு சரிசெய்யப்படுகின்றன, எனவே பாதுகாப்பான பயன்பாட்டைப் பராமரிக்க தற்போதைய நிலையில் இருப்பது அவசியம்.
உங்கள் பயனர்களுக்குக் கல்வி கற்பிக்கவும்: சந்தேகத்திற்கிடமான இணைப்புகளைக் கிளிக் செய்வது அல்லது நம்பத்தகாத வலைத்தளங்களில் முக்கியமான தகவல்களை உள்ளிடுவது குறித்து எச்சரிக்கையாக இருக்குமாறு உங்கள் பயனர்களுக்குக் கற்றுக் கொடுங்கள். ஃபிஷிங் தாக்குதல்கள் பெரும்பாலும் மின்னஞ்சல் அல்லது சமூக ஊடகங்கள் மூலம் பயனர்களைக் குறிவைக்கின்றன, எனவே விழிப்புணர்வை ஏற்படுத்துவது அவர்கள் XSS தாக்குதல்களுக்கு இரையாவதைத் தடுக்க உதவும்.
HTTPOnly குக்கீகளைப் பயன்படுத்தவும்: முக்கியமான குக்கீகளுக்கு HTTPOnly கொடியை அமைக்கவும், இது கிளையன்ட் பக்க ஸ்கிரிப்டுகள் அவற்றை அணுகுவதைத் தடுக்கிறது. குக்கீகளைத் திருட முயற்சிக்கும் XSS தாக்குதல்களின் அபாயத்தைக் குறைக்க இது உதவுகிறது.

நடைமுறை XSS தடுப்பு உதாரணம்

பயனர் சமர்ப்பித்த செய்திகளைக் காட்டும் ஒரு ஜாவாஸ்கிரிப்ட் பயன்பாட்டைக் கவனியுங்கள். XSS ஐத் தடுக்க, நீங்கள் பின்வரும் நுட்பங்களைப் பயன்படுத்தலாம்:


// Client-side (using DOMPurify)
const message = document.getElementById('userMessage').value;
const cleanMessage = DOMPurify.sanitize(message);
document.getElementById('displayMessage').innerHTML = cleanMessage;

// Server-side (Node.js example using express-validator and escape)
const { body, validationResult } = require('express-validator');

app.post('/submit-message', [
  body('message').trim().escape(),
], (req, res) => {
  const errors = validationResult(req);
  if (!errors.isEmpty()) {
    return res.status(400).json({ errors: errors.array() });
  }
  const message = req.body.message;
  // Store the message securely in the database
});

இந்த எடுத்துக்காட்டு கிளையன்ட் பக்கத்தில் DOMPurify மற்றும் சேவையகப் பக்கத்தில் express-validator இன் escape செயல்பாட்டைப் பயன்படுத்தி பயனர் உள்ளீட்டை எவ்வாறு சுத்திகரிப்பது என்பதைக் காட்டுகிறது. அதிகபட்ச பாதுகாப்பிற்காக எப்போதும் கிளையன்ட் பக்கம் மற்றும் சேவையகப் பக்கம் இரண்டிலும் தரவை சரிபார்த்து சுத்திகரிக்க நினைவில் கொள்ளுங்கள்.

கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF) பற்றி புரிந்துகொள்ளுதல்

கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF) என்பது ஒரு தாக்குதலாகும், இது ஒரு இறுதிப் பயனரை, அவர் தற்போது அங்கீகரிக்கப்பட்ட ஒரு இணையப் பயன்பாட்டில் விரும்பத்தகாத செயல்களைச் செய்ய கட்டாயப்படுத்துகிறது. CSRF தாக்குதல்கள் குறிப்பாக நிலையை மாற்றும் கோரிக்கைகளை குறிவைக்கின்றன, தரவுத் திருட்டை அல்ல, ஏனெனில் தாக்குபவரால் போலி கோரிக்கைக்கான பதிலை பார்க்க முடியாது. சமூக பொறியியலின் சிறிய உதவியுடன் (மின்னஞ்சல் அல்லது அரட்டை வழியாக ஒரு இணைப்பை அனுப்புவது போன்றவை), ஒரு தாக்குபவர் ஒரு இணையப் பயன்பாட்டின் பயனர்களைத் தாக்குபவர் விரும்பும் செயல்களைச் செய்ய ஏமாற்றலாம். பாதிக்கப்பட்டவர் ஒரு சாதாரண பயனராக இருந்தால், ஒரு வெற்றிகரமான CSRF தாக்குதல் பயனரை நிதிப் பரிமாற்றம், மின்னஞ்சல் முகவரியை மாற்றுவது போன்ற நிலையை மாற்றும் கோரிக்கைகளைச் செய்ய கட்டாயப்படுத்தலாம். பாதிக்கப்பட்டவர் ஒரு நிர்வாகக் கணக்காக இருந்தால், CSRF முழு இணையப் பயன்பாட்டையும் சமரசம் செய்யலாம்.

ஒரு பயனர் தனது ஆன்லைன் வங்கிக் கணக்கில் உள்நுழைந்திருப்பதாக கற்பனை செய்து பாருங்கள். ஒரு தாக்குபவர், பயனரின் கணக்கிலிருந்து தாக்குபவரின் கணக்கிற்கு நிதியை மாற்றுவதற்கான கோரிக்கையை தானாகவே சமர்ப்பிக்கும் ஒரு படிவத்தைக் கொண்ட ஒரு தீங்கிழைக்கும் வலைத்தளத்தை உருவாக்க முடியும். பயனர் தனது வங்கிக் கணக்கில் உள்நுழைந்திருக்கும்போது இந்த தீங்கிழைக்கும் வலைத்தளத்தைப் பார்வையிட்டால், அவரது பிரவுசர் தானாகவே வங்கிக்கு கோரிக்கையை அனுப்பும், மேலும் பயனர் அங்கீகரிக்கப்பட்டிருப்பதால் வங்கி அந்தப் பரிமாற்றத்தைச் செயல்படுத்தும். இது ஒரு எளிமைப்படுத்தப்பட்ட எடுத்துக்காட்டு, ஆனால் இது CSRF இன் முக்கிய கொள்கையை விளக்குகிறது.

CSRF தாக்குதல்களைத் தடுத்தல்: ஒரு உலகளாவிய அணுகுமுறை

CSRF தடுப்பு என்பது கோரிக்கைகள் உண்மையிலேயே பயனரிடமிருந்து வருகின்றனவா என்பதையும், ஒரு தீங்கிழைக்கும் தளத்திலிருந்து வரவில்லை என்பதையும் உறுதி செய்வதை உள்ளடக்கியது. இதோ சில முக்கிய உத்திகள்:

CSRF டோக்கன்கள் (Synchronizer Token Pattern): CSRF தாக்குதல்களைத் தடுப்பதற்கான மிகவும் பொதுவான மற்றும் பயனுள்ள வழி CSRF டோக்கன்களைப் பயன்படுத்துவதாகும். ஒரு CSRF டோக்கன் என்பது ஒரு தனித்துவமான, கணிக்க முடியாத மற்றும் ரகசிய மதிப்பாகும், இது சேவையகத்தால் உருவாக்கப்பட்டு படிவம் அல்லது கோரிக்கையில் சேர்க்கப்படுகிறது. பயனர் படிவத்தைச் சமர்ப்பிக்கும்போது, CSRF டோக்கன் இருப்பதையும் அது உருவாக்கிய மதிப்புடன் பொருந்துவதையும் சேவையகம் சரிபார்க்கிறது. டோக்கன் காணவில்லை அல்லது பொருந்தவில்லை என்றால், கோரிக்கை நிராகரிக்கப்படும். இது தாக்குபவர்கள் சரியான CSRF டோக்கனைப் பெற முடியாததால், கோரிக்கைகளைப் போலி செய்வதைத் தடுக்கிறது. பல இணைய கட்டமைப்புகள் உள்ளமைக்கப்பட்ட CSRF பாதுகாப்பு வழிமுறைகளை வழங்குகின்றன. CSRF டோக்கன் ஒரு பயனர் அமர்வுக்கு தனித்துவமானது என்பதையும், XSS தாக்குதல்களிலிருந்து சரியாகப் பாதுகாக்கப்படுவதையும் உறுதிப்படுத்தவும். உதாரணம்: சேவையகத்தில் ஒரு சீரற்ற டோக்கனை உருவாக்குதல், அதை பயனரின் அமர்வில் சேமித்தல், அதை படிவத்தில் ஒரு மறைக்கப்பட்ட புலமாக உட்பொதித்தல் மற்றும் படிவம் சமர்ப்பிக்கப்படும்போது டோக்கனைச் சரிபார்த்தல்.
சேம்சைட் குக்கீகள் (SameSite Cookies): HTTP குக்கீகளுக்கான `SameSite` பண்புக்கூறு, கிராஸ்-சைட் கோரிக்கைகளுடன் குக்கீகள் எவ்வாறு அனுப்பப்படுகின்றன என்பதைக் கட்டுப்படுத்த ஒரு வழிமுறையை வழங்குகிறது. `SameSite=Strict` என அமைப்பது குக்கீயை எந்தவொரு கிராஸ்-சைட் கோரிக்கைகளுடனும் அனுப்புவதைத் தடுக்கிறது, இது வலுவான CSRF பாதுகாப்பை வழங்குகிறது. `SameSite=Lax` குக்கீயை உயர்-நிலை வழிசெலுத்தல்களுடன் (எ.கா., ஒரு இணைப்பைக் கிளிக் செய்தல்) அனுப்ப அனுமதிக்கிறது, ஆனால் மற்ற கிராஸ்-சைட் கோரிக்கைகளுடன் அல்ல. `SameSite=None; Secure` குக்கீயை கிராஸ்-சைட் கோரிக்கைகளுடன் அனுப்ப அனுமதிக்கிறது, ஆனால் HTTPS வழியாக மட்டுமே. பழைய பிரவுசர்கள் `SameSite` பண்புக்கூறை ஆதரிக்காமல் இருக்கலாம் என்பதை அறிந்திருங்கள், எனவே இது மற்ற CSRF தடுப்பு நுட்பங்களுடன் இணைந்து பயன்படுத்தப்பட வேண்டும்.
இரட்டை-சமர்ப்பிப்பு குக்கீ முறை (Double-Submit Cookie Pattern): இந்த முறையில் ஒரு குக்கீயில் ஒரு சீரற்ற மதிப்பை அமைப்பதும், அதே மதிப்பை படிவத்தில் ஒரு மறைக்கப்பட்ட புலமாகச் சேர்ப்பதும் அடங்கும். படிவம் சமர்ப்பிக்கப்படும்போது, குக்கீ மதிப்பு மற்றும் படிவப் புல மதிப்பு பொருந்துவதை சேவையகம் சரிபார்க்கிறது. இது ஒரு தாக்குபவரால் வேறு டொமைனிலிருந்து குக்கீ மதிப்பைப் படிக்க முடியாததால் செயல்படுகிறது. இந்த முறை CSRF டோக்கன்களைப் பயன்படுத்துவதை விட குறைவான வலுவானது, ஏனெனில் இது பிரவுசரின் சேம்-ஆரிஜின் கொள்கையை (Same-Origin Policy) நம்பியுள்ளது, இது சில சந்தர்ப்பங்களில் மீறப்படலாம்.
Referer தலைப்பு சரிபார்ப்பு: கோரிக்கையின் `Referer` தலைப்பைச் சரிபார்த்து, அது கோரிக்கையின் எதிர்பார்க்கப்படும் மூலத்துடன் பொருந்துகிறதா என்பதை உறுதிப்படுத்தவும். இருப்பினும், `Referer` தலைப்பைத் தாக்குபவர்களால் எளிதில் போலியாக மாற்ற முடியும், எனவே இது CSRF பாதுகாப்பின் ஒரே வழியாக நம்பப்படக்கூடாது. இது ஒரு கூடுதல் பாதுகாப்பு அடுக்காகப் பயன்படுத்தப்படலாம்.
உணர்திறன் மிக்க செயல்களுக்கு பயனர் தொடர்பு: நிதிப் பரிமாற்றம் அல்லது கடவுச்சொற்களை மாற்றுவது போன்ற மிகவும் உணர்திறன் மிக்க செயல்களுக்கு, பயனரை மீண்டும் அங்கீகரிக்க அல்லது கூடுதல் செயலைச் செய்யும்படி கோரவும், அதாவது அவர்களின் தொலைபேசி அல்லது மின்னஞ்சலுக்கு அனுப்பப்பட்ட ஒரு முறை கடவுச்சொல்லை (OTP) உள்ளிடுவது போன்றவை. இது ஒரு கூடுதல் பாதுகாப்பு அடுக்கைச் சேர்க்கிறது மற்றும் தாக்குபவர்கள் கோரிக்கைகளைப் போலி செய்வதை மிகவும் கடினமாக்குகிறது.
நிலையை மாற்றும் செயல்பாடுகளுக்கு GET கோரிக்கைகளைப் பயன்படுத்துவதைத் தவிர்க்கவும்: GET கோரிக்கைகள் தரவைப் பெறுவதற்குப் பயன்படுத்தப்பட வேண்டும், பயன்பாட்டின் நிலையை மாற்றும் செயல்களைச் செய்வதற்கு அல்ல. நிலையை மாற்றும் செயல்பாடுகளுக்கு POST, PUT அல்லது DELETE கோரிக்கைகளைப் பயன்படுத்தவும். இது தாக்குபவர்கள் எளிய இணைப்புகள் அல்லது படங்களைப் பயன்படுத்தி கோரிக்கைகளைப் போலி செய்வதை மிகவும் கடினமாக்குகிறது.

நடைமுறை CSRF தடுப்பு உதாரணம்

பயனர்கள் தங்கள் மின்னஞ்சல் முகவரியைப் புதுப்பிக்க அனுமதிக்கும் ஒரு இணையப் பயன்பாட்டைக் கவனியுங்கள். CSRF ஐத் தடுக்க, நீங்கள் CSRF டோக்கன்களைப் பின்வருமாறு பயன்படுத்தலாம்:


// Server-side (Node.js example using csurf)
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const app = express();

app.use(cookieParser());
app.use(csrf({ cookie: true }));

app.get('/profile', (req, res) => {
  res.render('profile', { csrfToken: req.csrfToken() });
});

app.post('/update-email', (req, res) => {
  // Verify the CSRF token
  if (req.csrfToken() !== req.body._csrf) {
    return res.status(403).send('CSRF token validation failed');
  }
  // Update the email address
});


// Client-side (HTML form)

  
  New Email:

இந்த எடுத்துக்காட்டு Node.js இல் `csurf` மிடில்வேரைப் பயன்படுத்தி CSRF டோக்கன்களை உருவாக்கி சரிபார்ப்பது எப்படி என்பதைக் காட்டுகிறது. CSRF டோக்கன் படிவத்தில் ஒரு மறைக்கப்பட்ட புலமாகச் சேர்க்கப்பட்டுள்ளது, மேலும் படிவம் சமர்ப்பிக்கப்படும்போது சேவையகம் டோக்கனைச் சரிபார்க்கிறது.

ஒரு முழுமையான பாதுகாப்பு அணுகுமுறையின் முக்கியத்துவம்

XSS மற்றும் CSRF பாதிப்புகளைத் தடுப்பதற்கு, இணையப் பயன்பாட்டு மேம்பாட்டு வாழ்க்கைச் சுழற்சியின் அனைத்து அம்சங்களையும் உள்ளடக்கிய ஒரு விரிவான பாதுகாப்பு உத்தி தேவைப்படுகிறது. இதில் பாதுகாப்பான குறியீட்டு முறைகள், வழக்கமான பாதுகாப்பு தணிக்கைகள், ஊடுருவல் சோதனை மற்றும் தொடர்ச்சியான கண்காணிப்பு ஆகியவை அடங்கும். ஒரு முன்கூட்டிய மற்றும் பல-அடுக்கு அணுகுமுறையை மேற்கொள்வதன் மூலம், நீங்கள் பாதுகாப்பு மீறல்களின் அபாயத்தைக் கணிசமாகக் குறைத்து, உங்கள் பயனர்களைத் தீங்கிலிருந்து பாதுகாக்க முடியும். எந்தவொரு ஒற்றை நுட்பமும் முழுமையான பாதுகாப்பிற்கு உத்தரவாதம் அளிக்காது என்பதை நினைவில் கொள்ளுங்கள்; இந்த முறைகளின் கலவையே வலிமையான பாதுகாப்பை வழங்குகிறது.

உலகளாவிய பாதுகாப்பு தரநிலைகள் மற்றும் வளங்களைப் பயன்படுத்துதல்

பல சர்வதேச அமைப்புகளும் முயற்சிகளும் இணையப் பாதுகாப்பு சிறந்த நடைமுறைகள் குறித்த மதிப்புமிக்க வளங்களையும் வழிகாட்டுதலையும் வழங்குகின்றன. சில குறிப்பிடத்தக்க எடுத்துக்காட்டுகள் பின்வருமாறு:

OWASP (Open Web Application Security Project): OWASP என்பது ஒரு இலாப நோக்கற்ற அமைப்பாகும், இது இணையப் பயன்பாட்டுப் பாதுகாப்பு குறித்த இலவச மற்றும் திறந்த மூல வளங்களை வழங்குகிறது, இதில் OWASP டாப் டென் அடங்கும், இது மிக முக்கியமான இணையப் பயன்பாட்டு பாதுகாப்பு அபாயங்களை அடையாளம் காட்டுகிறது.
NIST (National Institute of Standards and Technology): NIST ஆனது சைபர் பாதுகாப்புக்கான தரநிலைகளையும் வழிகாட்டுதல்களையும் உருவாக்குகிறது, இதில் பாதுகாப்பான மென்பொருள் மேம்பாடு மற்றும் பாதிப்பு மேலாண்மை குறித்த வழிகாட்டுதல்களும் அடங்கும்.
ISO (International Organization for Standardization): ISO ஆனது தகவல் பாதுகாப்பு மேலாண்மை அமைப்புகளுக்கான (ISMS) சர்வதேச தரங்களை உருவாக்குகிறது, இது நிறுவனங்கள் தங்கள் பாதுகாப்பு நிலையை நிர்வகிக்கவும் மேம்படுத்தவும் ஒரு கட்டமைப்பை வழங்குகிறது.

இந்த வளங்களையும் தரங்களையும் பயன்படுத்துவதன் மூலம், உங்கள் இணையப் பயன்பாடுகள் தொழில் சிறந்த நடைமுறைகளுடன் ஒத்துப்போவதையும், உலகளாவிய பார்வையாளர்களின் பாதுகாப்புத் தேவைகளைப் பூர்த்தி செய்வதையும் நீங்கள் உறுதிசெய்யலாம்.

முடிவுரை

உங்கள் பயனர்களைப் பாதுகாக்கவும், உங்கள் இணைய தளத்தின் ஒருமைப்பாட்டைப் பராமரிக்கவும் ஜாவாஸ்கிரிப்ட் பயன்பாடுகளை XSS மற்றும் CSRF தாக்குதல்களுக்கு எதிராகப் பாதுகாப்பது அவசியம். இந்த பாதிப்புகளின் தன்மையைப் புரிந்துகொண்டு, இந்த வழிகாட்டியில் கோடிட்டுக் காட்டப்பட்டுள்ள தடுப்பு உத்திகளைச் செயல்படுத்துவதன் மூலம், நீங்கள் பாதுகாப்பு மீறல்களின் அபாயத்தைக் கணிசமாகக் குறைத்து, மேலும் பாதுகாப்பான மற்றும் மீள்தன்மையுடைய இணையப் பயன்பாடுகளை உருவாக்க முடியும். சமீபத்திய பாதுகாப்பு அச்சுறுத்தல்கள் மற்றும் சிறந்த நடைமுறைகள் குறித்துத் தொடர்ந்து அறிந்திருப்பதையும், வளர்ந்து வரும் சவால்களை எதிர்கொள்ள உங்கள் பாதுகாப்பு நடவடிக்கைகளைத் தொடர்ந்து மாற்றியமைப்பதையும் நினைவில் கொள்ளுங்கள். இன்றைய மாறிவரும் டிஜிட்டல் உலகில் உங்கள் பயன்பாடுகளின் பாதுகாப்பையும் நம்பகத்தன்மையையும் உறுதிப்படுத்த, இணையப் பாதுகாப்பிற்கான ஒரு முன்கூட்டிய மற்றும் முழுமையான அணுகுமுறை முக்கியமானது.

இந்த வழிகாட்டி XSS மற்றும் CSRF பாதிப்புகளைப் புரிந்துகொள்வதற்கும் தடுப்பதற்கும் ஒரு உறுதியான அடித்தளத்தை வழங்குகிறது. வளர்ந்து வரும் அச்சுறுத்தல்களிலிருந்து உங்கள் பயன்பாடுகளையும் பயனர்களையும் பாதுகாக்க, தொடர்ந்து கற்றுக்கொண்டு சமீபத்திய பாதுகாப்பு சிறந்த நடைமுறைகளுடன் புதுப்பித்த நிலையில் இருங்கள். நினைவில் கொள்ளுங்கள், பாதுகாப்பு என்பது ஒரு தொடர்ச்சியான செயல்முறை, ஒரு முறை தீர்வு அல்ல.