Цифровой Элемент

Безопасность и защита веб-форм

Name: Безопасность и защита веб-форм
Price: 4900 RUB
Availability: InStock
Author: Цифровой Элемент

Готовый шаблон Защита форм для 1С-Битрикс. Усильте безопасность сайта и блокируйте спам. Установите модуль на любую редакцию — от "Первого.

50 установок 1С-Битрикс

от 4 900 ₽ до 5 900 ₽

Технические данные

Опубликовано:: 25.09.2023
Обновлено:: 10.04.2026
Версия:: 1.1.1
Установлено:: Менее 50 раз
Подходящие редакции:: «Первый сайт», «Старт», «Стандарт», «Малый бизнес», «Бизнес»
Адаптивность:: Нет
Поддержка Композита:: Нет
Совместимо с Сайты24: Нет

Онлайн-демонстрация

Хотите увидеть продукт в действии? Запросите демонстрацию — мы покажем всё вживую и ответим на вопросы.

Модуль «Защита форм» для 1С-Битрикс предназначен для нейтрализации одной из самых опасных и труднообнаруживаемых угроз веб-безопасности — межсайтовой подделки запроса (CSRF/XSRF). В отличие от XSS-атак, CSRF эксплуатирует доверие сервера к браузеру аутентифицированного пользователя. Злоумышленник заставляет жертву выполнить нежелательные действия на сайте, где она авторизована (например, смена пароля, перевод средств, отправка формы с вредоносными данными). Решение встраивается в стандартные механизмы 1С-Битрикс и блокирует такие атаки на уровне обработки форм, проверяя подлинность каждого запроса.

Как это работает и что получает покупатель

После установки и активации модуля все публичные и административные формы на сайте автоматически защищаются от CSRF-атак. Разработчику не нужно вручную прописывать токены или менять логику шаблонов. Покупатель получает готовый механизм проверки секретных ключей (CSRF-токенов), которые генерируются для каждой сессии пользователя. Если запрос к форме приходит без валидного токена или с токеном от другой сессии, система отклоняет его. В результате:

Исключается возможность отправки форм от имени администратора или клиента без его ведома;
Блокируются сценарии, при которых жертва переходит по ссылке на стороннем сайте, а её браузер отправляет подготовленный запрос к вашему сайту;
Снижается риск утечки персональных данных и финансовых манипуляций через подставные запросы.

Технические особенности и совместимость

Продукт работает на платформе 1С-Битрикс и совместим со всеми основными редакциями: «Первый сайт», «Старт», «Стандарт», «Малый бизнес» и «Бизнес». Текущая версия 1.1.1 адаптирована под актуальные обновления системы (дата обновления решения — апрель 2026 года). Важно отметить: модуль не требует адаптивной вёрстки и не использует технологию Композит, так как его задача — исключительно серверная проверка безопасности запросов. Установка не влияет на скорость работы сайта и не конфликтует с типовыми компонентами Битрикса.

Для кого подходит это решение

Модуль будет полезен для любых проектов на 1С-Битрикс, где критична безопасность пользовательских данных и целостность бизнес-процессов. В первую очередь это:

Интернет-магазины и платёжные сервисы (защита корзин, личных кабинетов, форм оформления заказа);
Корпоративные порталы и CRM-системы (защита от подмены запросов на изменение статусов, заявок, документов);
Сайты с авторизацией пользователей (формы регистрации, восстановления пароля, обратной связи).

Установка рекомендована владельцам сайтов на редакциях «Старт» и выше, которые хотят минимизировать риски CSRF-атак без привлечения дорогостоящих специалистов по безопасности. Решение не требует дополнительных настроек после установки и работает «из коробки», что делает его идеальным выбором для небольших и средних проектов, где важен баланс между безопасностью и простотой поддержки.

Уязвимости сайта – недостатки в системе, позволяющие злоумышленнику навредить работе сайта или похитить персональные данные пользователей.
Один из основных типов уязвимостей - это атака на клиентов веб-приложения, такая как, межсайтовая подделка запроса (CSRF или Сross Site Request Forgery – «межсайтовая подделка запроса»). Если каким-либо образом заставить браузер пользователя сделать запрос к уязвимому серверу, браузер сделает этот запрос с текущими cookie данного пользователя.
CSRF – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Описание
Наш модуль позволяет усилить проверку отправляемых форм всех редакций 1С-Битрикс: для каждой формы генерируется короткоживущий csrf-токен проверяемый при отправке. В отличии от базовой проверки через bx_sessid токен выдается на конкретную форму и ограниченное время, что позволяет даже при перехвате токена минимизировать возможные действия с ним.
Защищает от межсайтовой подделка запроса. Даже если запрос произойдет с текущими cookie пользователя у злоумышленника не будет доступа к токену для отправки форм от его имени.
Использование
Для подключения формы из модуля Веб-формы

Включите проверку форм в настройках модуля
Задайте уникальный секрет для генерации кодов
Задайте желаемое время жизни токена в секундах
Выберите необходимую форму из списка
Добавьте в шаблон формы input с токеном <?= Delement\Csrf\DelementCsrfHelper::getCsrfInput($arParams["WEB_FORM_ID"]); ?>

Для подключения к собственным формам

Вставьте input с токеном в вашу форму - токен можно сгенерировать через Delement\Csrf\DelementCsrfHelper::getCsrf(<уникальный id формы>);
Добавьте в скрипте обрабатывающем вашу форму проверку через Delement\Csrf\DelementCsrfHelper::validateCsrf(<уникальный id формы>)