Защита форм

Почему стандартной защиты недостаточно: CSRF-атаки и риски для бизнеса

Межсайтовая подделка запроса — одна из самых коварных угроз для любого сайта на 1С-Битрикс. Злоумышленнику не нужно взламывать пароли или искать дыры в коде: достаточно заставить браузер авторизованного пользователя выполнить скрытый запрос на ваш сервер. Поскольку браузер автоматически подставляет текущие cookie, система считает действие легитимным. Так можно изменить данные, оформить заказ от имени клиента или даже инициировать финансовую операцию. Стандартная проверка через bx_sessid в ядре Битрикс защищает лишь от самых простых сценариев, но не рассчитана на целевые атаки. Наш модуль «Защита форм» закрывает эту брешь на уровне каждой конкретной формы, не требуя переписывания сайта.

Как работает защита: короткоживущие токены для каждой формы

В отличие от встроенного механизма, где сессионный ключ един для всех страниц и живёт до закрытия браузера, модуль генерирует уникальный csrf-токен под каждую форму. Этот токен действует ограниченное время — вы сами задаёте его в секундах. Даже если злоумышленник перехватит данные, он не сможет использовать их позже или подставить к другой форме. Токен привязывается к конкретному действию: например, к отправке заявки или оформлению заказа. Это значит, что атакующий не сможет подменить запрос, даже если у него есть доступ к cookie пользователя. Система просто не примет старый или чужой токен.

Простое подключение для стандартных и кастомных форм

Модуль одинаково хорошо работает с формами из модуля «Веб-формы» и с вашими собственными разработками. Для готовых форм достаточно включить проверку в настройках, задать секретный ключ для генерации кодов и выбрать нужную форму из списка. В шаблон автоматически добавится скрытое поле с токеном. Если вы используете самописные формы, всё так же просто: вставьте в разметку input, а токен получите через метод Delement\Csrf\DelementCsrfHelper::getCsrf(). В обработчике отправки добавьте проверку тем же хелпером — validateCsrf(). Никаких сложных интеграций или изменения логики сайта.

Гибкие настройки безопасности под ваш проект

Вы не привязаны к фиксированным параметрам защиты. В админке можно задать уникальный секрет для генерации токенов — это дополнительный уровень, который делает подделку практически невозможной. Время жизни токена настраивается отдельно: для форм с быстрыми действиями (например, подписка на новости) можно поставить 30 секунд, для сложных многошаговых заказов — несколько минут. При этом модуль не замедляет работу сайта: токены создаются лёгкими и не нагружают базу данных. Вы сами решаете, какие формы защищать, а для каких достаточно стандартной проверки.

Реальная защита без компромиссов: минимизация ущерба при утечке

Даже в сценарии, когда токен перехвачен, ущерб будет минимальным. Из-за короткого срока действия злоумышленник успеет сделать только один запрос — и только к той форме, для которой был выдан токен. Это кардинально отличается от ситуации с bx_sessid, где один перехваченный ключ открывает доступ к любым действиям на сайте. Модуль не просто добавляет ещё одну галочку в настройках, а меняет логику безопасности: защита становится контекстной и временной. Для бизнеса это означает снижение рисков финансовых потерь, утечки персональных данных и репутационного ущерба от взлома. Установка занимает несколько минут, а эффект от защиты вы почувствуете сразу после активации на критически важных формах.