Académique Documents
Professionnel Documents
Culture Documents
Tips
1. POST
Cualquier formulario debe siempre enviar la informacin de su contenido
usando el mtodo POST. Con POST los valores del formulario viajan ocultos
hacia el script de destino. Si un formulario utiliza el mtodo GET, toda la
informacin del mismo ser desplegada en la barra de direcciones del
browser.
2. Token
Es necesario que el script que va a procesar la informacin del formulario
tenga algn modo de reconocer que efectivamente la informacin proviene de
el formulario para el cul fue diseado. Para ello, normalmente se utiliza un
token o cdigo encriptado que se enva como un campo oculto en el
formulario y que el script puede desencriptar para validar si procesa o rechaza
el formulario.
La mayora de los frameworks para desarrollo web, como CakePHP, ya
integran el token como una validacin automtica en sus formularios.
3. Proteccin CSRF
CSRF significa Cross Site Request Forgery o Falsificacin de Peticin en
Sitios Cruzados en espaol. Este tipo de vulnerabilidad trata de enviar datos
de un formulario a un script ubicado en un sitio web distinto. Para evitar este
ataque se debe chequear el sitio web del que proviene el formulario. Por
ejemplo, en PHP se puede usar la variable $_SERVER["HTTP_REFERER"]
para validar desde dnde viene la informacin. No obstante, esta variable
puede ser modificable o no provista, por lo cual una manera ms confiable de
validar que el formulario haya sido enviado desde el dominio correspondiente
es utilizando Cookies.
4. Validaciones Javascript
Validar que los campos requeridos de un formulario se hayan completado y
que tengan un formato y extensin apropiados mejora grandemente la
experiencia del usuario y dificulta los posibles ataques. Se debe verificar que
los campos del formulario permitan una cantidad razonable de caracteres y
Medidas
Recomendaciones
Ventajas/Desventajas
Ejemplos