streamaserver/streama

Add CSRF Token Validation for Security

Open

#1.087 geöffnet am 13. Sept. 2021

Auf GitHub ansehen
 (0 Kommentare) (2 Reaktionen) (0 zugewiesene Personen)JavaScript (9.565 Stars) (977 Forks)batch import
BugHelp wanted

Beschreibung

See https://portswigger.net/web-security/csrf/tokens - Currently streama is lacking this type of validation and has potential for security risks due to it.

There is a guide here, maybe that works https://www.baeldung.com/spring-security-csrf

Contributor Guide

Tech Stack
javaspringgroovy
Domain
backendsecurity
Issue Type
feature
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
3
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
half day
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
stale
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
clear
Voraussetzungen
Basic Java/Spring SecurityUnderstanding of CSRF attacks
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
40
Research-Richtung
Review the provided Baeldung guide on Spring Security CSRF and adapt it to the Grails framework used by streama. Examine the application's existing security configuration (likely in Grails security plugins or Spring Security XML/Java config) and identify where to enable CSRF protection. Also, check the Grails documentation for CSRF support (e.g., grails.plugin.springsecurity).