streamaserver/streama

Add CSRF Token Validation for Security

Open

#1 087 ouverte le 13 sept. 2021

Voir sur GitHub
 (0 commentaires) (2 réactions) (0 assignés)JavaScript (9 565 stars) (977 forks)batch import
BugHelp wanted

Description

See https://portswigger.net/web-security/csrf/tokens - Currently streama is lacking this type of validation and has potential for security risks due to it.

There is a guide here, maybe that works https://www.baeldung.com/spring-security-csrf

Guide contributeur

Stack technique
javaspringgroovy
Domaine
backendsecurity
Type d'issue
feature
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
half day
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
stale
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
Basic Java/Spring SecurityUnderstanding of CSRF attacks
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
40
Direction de recherche
Review the provided Baeldung guide on Spring Security CSRF and adapt it to the Grails framework used by streama. Examine the application's existing security configuration (likely in Grails security plugins or Spring Security XML/Java config) and identify where to enable CSRF protection. Also, check the Grails documentation for CSRF support (e.g., grails.plugin.springsecurity).