
Безопасность и защита веб-форм
Готовый шаблон Защита форм для 1С-Битрикс. Усильте безопасность сайта и блокируйте спам. Установите модуль на любую редакцию — от "Первого.
Нужна лицензия 1С-Битрикс?
Поможем купить новую лицензию или продлить действующую — «1С-Битрикс: Управление сайтом» и Битрикс24.
Дорого?
Напишите нам — бесплатно подберём похожее решение подешевле под вашу задачу.
Технические данные
- Опубликовано:
- 25.09.2023
- Обновлено:
- 10.04.2026
- Версия:
- 1.1.1
- Установлено:
- Менее 50 раз
- Подходящие редакции:
- «Первый сайт», «Старт», «Стандарт», «Малый бизнес», «Бизнес»
- Адаптивность:
- Нет
- Поддержка Композита:
- Да
- Совместимо с Сайты24
- Нет
Онлайн-демонстрация
Хотите увидеть продукт в действии? Запросите демонстрацию — мы покажем всё вживую и ответим на вопросы.
Ключевые функции защиты
Модуль «Защита форм» для 1С-Битрикс предназначен для нейтрализации одной из самых опасных и труднообнаруживаемых угроз веб-безопасности — межсайтовой подделки запроса (CSRF/XSRF). В отличие от XSS-атак, CSRF эксплуатирует доверие сервера к браузеру аутентифицированного пользователя. Злоумышленник заставляет жертву выполнить нежелательные действия на сайте, где она авторизована (например, смена пароля, перевод средств, отправка формы с вредоносными данными). Решение встраивается в стандартные механизмы 1С-Битрикс и блокирует такие атаки на уровне обработки форм, проверяя подлинность каждого запроса.
Как это работает и что получает покупатель
После установки и активации модуля все публичные и административные формы на сайте автоматически защищаются от CSRF-атак. Разработчику не нужно вручную прописывать токены или менять логику шаблонов. Покупатель получает готовый механизм проверки секретных ключей (CSRF-токенов), которые генерируются для каждой сессии пользователя. Если запрос к форме приходит без валидного токена или с токеном от другой сессии, система отклоняет его. В результате:
- Исключается возможность отправки форм от имени администратора или клиента без его ведома;
- Блокируются сценарии, при которых жертва переходит по ссылке на стороннем сайте, а её браузер отправляет подготовленный запрос к вашему сайту;
- Снижается риск утечки персональных данных и финансовых манипуляций через подставные запросы.
Технические особенности и совместимость
Продукт работает на платформе 1С-Битрикс и совместим со всеми основными редакциями: «Первый сайт», «Старт», «Стандарт», «Малый бизнес» и «Бизнес». Текущая версия 1.1.1 адаптирована под актуальные обновления системы (дата обновления решения — апрель 2026 года). Важно отметить: модуль не требует адаптивной вёрстки и не использует технологию Композит, так как его задача — исключительно серверная проверка безопасности запросов. Установка не влияет на скорость работы сайта и не конфликтует с типовыми компонентами Битрикса.
Для кого подходит это решение
Модуль будет полезен для любых проектов на 1С-Битрикс, где критична безопасность пользовательских данных и целостность бизнес-процессов. В первую очередь это:
- Интернет-магазины и платёжные сервисы (защита корзин, личных кабинетов, форм оформления заказа);
- Корпоративные порталы и CRM-системы (защита от подмены запросов на изменение статусов, заявок, документов);
- Сайты с авторизацией пользователей (формы регистрации, восстановления пароля, обратной связи).
Установка рекомендована владельцам сайтов на редакциях «Старт» и выше, которые хотят минимизировать риски CSRF-атак без привлечения дорогостоящих специалистов по безопасности. Решение не требует дополнительных настроек после установки и работает «из коробки», что делает его идеальным выбором для небольших и средних проектов, где важен баланс между безопасностью и простотой поддержки.
Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.
CSRF – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Описание
Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для каждой формы генерируется короткоживущий csrf-токен проверяемый при отправке. В отличии от базовой проверки через bx_sessid токен выдается на конкретную форму и ограниченное время, что позволяет даже при перехвате токена минимизировать возможные действия с ним.
Защищает от межсайтовой подделка запроса. Даже если запрос произойдет с текущими cookie пользователя у злоумышленника не будет доступа к токену для отправки форм от его имени.
Использование
Для подключения формы из модуля Веб-формы
- Включите проверку форм в настройках модуля
- Задайте уникальный секрет для генерации кодов
- Задайте желаемое время жизни токена в секундах
- Выберите необходимую форму из списка
- Добавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>
- Вставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);
- Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)

Для чего нужен модуль «Защита форм» и какие угрозы он предотвращает?
С какими редакциями и версиями 1С-Битрикс совместим модуль?
Какова стоимость модуля и как приобретается лицензия?
Сложно ли установить и настроить модуль? Требуется ли вмешательство разработчика?
Предоставляется ли техническая поддержка после покупки модуля?
Установка модуля из Маркетплейса
Перейдите в административной панели в раздел «Маркетплейс» → «Каталог решений». Найдите модуль «Безопасность и защита веб-форм» и нажмите «Установить». После завершения загрузки перейдите в «Маркетплейс» → «Установленные решения» и активируйте модуль.
Активация и настройка прав доступа
В списке установленных решений нажмите «Настроить» рядом с модулем. Убедитесь, что модуль активирован. В настройках прав доступа укажите группы пользователей (например, «Все пользователи»), для которых будет применяться защита форм.
Включение защиты для публичных форм
В настройках модуля найдите опцию «Защищать публичные формы» и установите флажок «Включить». Модуль автоматически начнет генерировать CSRF-токены для всех стандартных форм сайта (регистрация, обратная связь, комментарии).
Настройка защиты административных форм
В той же вкладке настроек отметьте опцию «Защищать административные формы». Это обеспечит проверку токенов при отправке форм в панели управления, включая формы изменения паролей и настроек.
Проверка работы через тестовую отправку
Откройте любую публичную форму на сайте (например, форму обратной связи) и отправьте тестовое сообщение. Убедитесь, что данные успешно отправляются. Затем попробуйте отправить форму с подделанным или отсутствующим CSRF-токеном (например, через консоль браузера) — система должна отклонить запрос с ошибкой.
Мониторинг журнала событий
Перейдите в «Настройки» → «Журнал событий» и отфильтруйте записи по типу «Защита форм». Проверьте, что в логе отображаются успешные проверки токенов и, при необходимости, заблокированные подозрительные запросы.
- v1.1.109.04.2026
- Исправлена работа с композитным сайтом
Нужна помощь с установкой?
Напишите нам — поможем установить и настроить модуль на вашем сайте.











