Seguridad básica - Asegurando el servidor contra CSRF
Clase 32 de 35 • Curso de Node.js con Hapi
Contenido del curso
Creando un sitio básico con Hapi
- 4
El objeto h, response y sus herramientas
04:22 min - 5
Uso de plugins - Contenido estático
08:11 min - 6
Plantillas con Handlebars
06:08 min - 7
Renderizado de vistas - Layout y template del home
10:32 min - 8
Recibiendo parámetros en una ruta POST - Creación del registro
05:56 min - 9
Definir una mejor estructura con buenas prácticas en Hapi
10:00 min - 10
Validando la información - Implementando Joi
07:13 min - 11
Introducción a Firebase
03:12 min - 12
Creando un modelo y guardando en firebase
14:23 min - 13
Implementando el login y validación del usuario
11:40 min - 14
Autenticación de usuarios - Cookies y estado
11:52 min - 15
Manejando errores
07:47 min - 16
Visualización de errores
13:45 min - 17
Controlar el error 404 en inert y el error de validación
10:42 min - 18
Repaso - Creación del modelo y controlador para preguntas
10:39 min - 19
Repaso - Creación de las rutas para crear preguntas
06:26 min - 20
Listar las últimas preguntas en el home
08:01 min
Aplicacion de conceptos avanzados
- 21
Enrutamiento avanzado - visualizando una pregunta
10:35 min - 22
Enrutamiento avanzado - respondiendo una pregunta
11:51 min - 23
Generando la lógica de la plantilla según si es creador o contribuidor
08:25 min - 24
Métodos de servidor - respuesta correcta
09:01 min - 25
Usando métodos de servidor
13:29 min - 26
Manejo del caché - Agregando el home al caché
08:51 min - 27
Procesamiento de archivos - Aceptando imágenes
15:10 min - 28
Logging con Good - Monitoreando el servidor
09:16 min - 29
Creación de plugins - Teoría
02:49 min - 30
Creación de plugins - Implementando un API REST
15:31 min - 31
Estrategías de autenticación - Asegurando el API REST
08:50 min - 32
Seguridad básica - Asegurando el servidor contra CSRF
Viendo ahora - 33
Seguridad básica - Asegurando el servidor contra XSS
08:25 min
Herramientas de desarrollo
Resumen
Una de las vulnerabilidades más comunes en cualquier servidor o sitio web, es la Falsificación de Petición en Sitios Cruzados o CSRF por sus sigles del inglés Cross-site request forgery, que es un tipo de ataque en el que son transmitidos comandos no autorizados por un usuario del sitio web en el que deberíamos confiar.
Para atender y corregir esta vulnerabilidad incorporaremos a nuestro proyecto un módulo adicional de Hapi llamado crumb que utiliza un token de validación para cada una de las rutas accedidas por los usuarios.
Implementación
Una vez instalado con npm i crumb -S procedemos a registrarlo en el scrip principal, de la misma manera que hemos hecho antes con good.
const crumb = require('crumb')
...
await server.register({
'plugin': crumb,
'options': {
'cookieOptions': {
'isSecure': process.env.NODE_ENV === 'prod'
}
}
})
...
Crumb utiliza una cookie para realizar la validación del token en cada una de las rutas de nuestra aplicación y la contrasta con el valor de un input de tipo hidden y de nombre crumb, que debe estar presente en cada una de las vistas.
La propiedad isSecure estaría entonces activa (en true) cuando estemos en el entorno de producción e inactiva (en false) mientras estemos en el entorno de desarrollo. Cuando no está presente el input de validación o su valor no es el correcto, el servidor devuelve un código de error 403 al browser, indicando que el acceso está prohibido o no está autorizado.