Forwarded from Geek Alerts
This media is not supported in your browser
VIEW IN TELEGRAM
این خروجی AI یک استارتاپ چینی به اسم hailuoai هست که میتونید باهاش ۵ ثانیه ویدیو رایگان بسازید.
برای ساختنش نیاز به یه پرامپت دارید، که میتونید به Gemini یا ChatGPT بگید براتون بنویسه، یا حتی فارسی بگید براتون انگلیسی کنه مثلا:
پرامپت: «یه پرامپت فارسی برات مینویسم تبدیلش کن به پرامپت انگلیسی برای تولید متن به ویدیو»
بعد داخل سایت زیر بزنید.
این AI چینی هست ولی میتوند پرامپت به زبان انگلیسی بهش بدید، هرچی جزئیات بیشتری بنویسید مثل لباسها، سکانسها، پس زمینه و داستان اینجوری میتونه خروجی بهتری بگیرید.
https://hailuoai.com/video
https://chatgpt.com/
https://gemini.google.com/
@geekalerts
برای ساختنش نیاز به یه پرامپت دارید، که میتونید به Gemini یا ChatGPT بگید براتون بنویسه، یا حتی فارسی بگید براتون انگلیسی کنه مثلا:
پرامپت: «یه پرامپت فارسی برات مینویسم تبدیلش کن به پرامپت انگلیسی برای تولید متن به ویدیو»
بعد داخل سایت زیر بزنید.
این AI چینی هست ولی میتوند پرامپت به زبان انگلیسی بهش بدید، هرچی جزئیات بیشتری بنویسید مثل لباسها، سکانسها، پس زمینه و داستان اینجوری میتونه خروجی بهتری بگیرید.
https://hailuoai.com/video
https://chatgpt.com/
https://gemini.google.com/
@geekalerts
Forwarded from 🎄 یک برنامه نویس تنبل (Raymond Dev)
🔶 کد های html متا برای تغییر رنگ نوار مرورگر کاربران سایت در موبایل
نکته : درون تگ head قرار گیرد.
@TheRaymondDev
نکته : درون تگ head قرار گیرد.
<meta name="theme-color" media="(prefers-color-scheme: light)" content="#2c61a6" />
<meta name="theme-color" media="(prefers-color-scheme: dark)" content="#222222" />
@TheRaymondDev
Forwarded from Linuxor ?
روی سرور ها مخصوصا پروداکشن، معمولا چیز اضافه ای نصب نمیکنن مگر اینکه خیلی ضروری باشه و بشه راحت بدون اثرات جانبی حذفش کرد
اما گاهی اوقات پیش میاد که نیاز داریم بین دایرکتوری ها بچرخیم و زدن cd بسیار هم خسته کننده میشه
ابزار nnn یه فایل مینجر خیلی خیلی سبکه در حد 150 کیلوبایت، برای مواقع ضروری میتونید نصبش کنید نیازی به اضافه کردن ریپازیتوری هم نداره و حذف کردنش هم هیچ اثر جانبی نداره، با ابزار nnn با جهت های کیبرد میتونید بین فایل ها و دایرکتوری ها راحت جابجا شید فایل انتقال، کپی و یا حذف کنید.
نصب :
apt install nnn
بعد از اجرا برای اینکه راهنماش رو ببینید علامت سوال (؟) رو روی کیبردتون بزنید.
🐧 @Linuxor
اما گاهی اوقات پیش میاد که نیاز داریم بین دایرکتوری ها بچرخیم و زدن cd بسیار هم خسته کننده میشه
ابزار nnn یه فایل مینجر خیلی خیلی سبکه در حد 150 کیلوبایت، برای مواقع ضروری میتونید نصبش کنید نیازی به اضافه کردن ریپازیتوری هم نداره و حذف کردنش هم هیچ اثر جانبی نداره، با ابزار nnn با جهت های کیبرد میتونید بین فایل ها و دایرکتوری ها راحت جابجا شید فایل انتقال، کپی و یا حذف کنید.
نصب :
apt install nnn
بعد از اجرا برای اینکه راهنماش رو ببینید علامت سوال (؟) رو روی کیبردتون بزنید.
🐧 @Linuxor
Forwarded from کانال اطلاعرسانی توزیع پارچ (Sohrab)
Forwarded from Code Module | کد ماژول (Mahan-Heydari)
فریم ورک Million.js چیه و چه کاربردی داره؟🧐
🔵 فریم ورک Million یک DOM مجازی بسیار سریع و سبکه (<4 کیلوبایت) که اجزای React رو تا 70٪ سریعتر می کنه. که این خیلی عالیه :))
Million، ایجاد برنامه های وب رو به سادگی فراهم کرده و سرعت رندرشون و بارگذاریشون رو سریع تر می کنه و با استفاده از یک DOM مجازی بهینه و تنظیمشده، هزینههای سربار برنامه رو کاهش میده.
ویژگی های اساسی این فریم ورک⬇️
ویژگی اول بارگذاری اولیه سریع صفحات و تعاملات نرمتر، به خصوص در برنامههای پیچیده هست که این فریم ورک و واقعا جذاب میکنه.
ویژگی دوم پایداریه که امری حیاتی حساب میشه.
به همین دلیل کاملاً کامپایلر در Million 3 بازنویسی شده. این بازسازی بر این تمرکز داره که تجربه شما رو پایدارتر و قابل اعتمادتر کنه اما چطور ؟
با پوشش دادن یک طیف گستردهتر از سناریوها.
اطلاعات بیشتر راجب این فریم ورک و میتونید تو داکیومنتش مطالعه کنید.
Document🌐
#dom #performance #js
@CodeModule
Million، ایجاد برنامه های وب رو به سادگی فراهم کرده و سرعت رندرشون و بارگذاریشون رو سریع تر می کنه و با استفاده از یک DOM مجازی بهینه و تنظیمشده، هزینههای سربار برنامه رو کاهش میده.
ویژگی های اساسی این فریم ورک
ویژگی اول بارگذاری اولیه سریع صفحات و تعاملات نرمتر، به خصوص در برنامههای پیچیده هست که این فریم ورک و واقعا جذاب میکنه.
ویژگی دوم پایداریه که امری حیاتی حساب میشه.
به همین دلیل کاملاً کامپایلر در Million 3 بازنویسی شده. این بازسازی بر این تمرکز داره که تجربه شما رو پایدارتر و قابل اعتمادتر کنه اما چطور ؟
با پوشش دادن یک طیف گستردهتر از سناریوها.
اطلاعات بیشتر راجب این فریم ورک و میتونید تو داکیومنتش مطالعه کنید.
Document
#dom #performance #js
@CodeModule
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ⚝
بدین سرزمین سپاه (دشمن)، بدسالی و (دیو) دروغ مَیاد. این را من از اهورامزدا با ایزدان خاندان شاهی به نماز خواستارم.
باشد که اهورامزدا و ایزدان خاندان شاهی این خواهشم را برآورند.
— داریوش بزرگ، سنگنوشتهٔ یکم، دیوار جنوبی تخت جمشید
#quote
@amiria703_channel
Forwarded from Geek Alerts
This media is not supported in your browser
VIEW IN TELEGRAM
یک ابزار جالب هست که بهش ویدیو میدید و لبخونی میکنه، دقت خوبی داره و فقط روی زبان انگلیسی کار میکنه.
باهاش اومدن صحبتهای سلبریتیها و افراد معروف با همدیگهرو وقتی میکروفون ندارن تبدیل به متن کردن.
سازندش کریس سامرا گفته دارن روش کار میکنن تا دقتش بیشتر بشه.
کار باهاش راحته و فقط کافیه ویدیو بهش بدید تا لبخونیرو شروع کنه.
https://www.readtheirlips.com/
@geekalerts
باهاش اومدن صحبتهای سلبریتیها و افراد معروف با همدیگهرو وقتی میکروفون ندارن تبدیل به متن کردن.
سازندش کریس سامرا گفته دارن روش کار میکنن تا دقتش بیشتر بشه.
کار باهاش راحته و فقط کافیه ویدیو بهش بدید تا لبخونیرو شروع کنه.
https://www.readtheirlips.com/
@geekalerts
Forwarded from LearnPOV | لرن پی او وی
سلام رفقا امیدوارم حال دلتون عالی باشه
پست جدید ما آپلود شد تو اینستاگرام، اگر دوست داشتید حتما یه سری بهش بزنید، مرسی بابت حمایت تک تکتون 🔥❤️
پست جدید ما آپلود شد تو اینستاگرام، اگر دوست داشتید حتما یه سری بهش بزنید، مرسی بابت حمایت تک تکتون 🔥❤️
Forwarded from 🎄 یک برنامه نویس تنبل (Raymond Dev)
🔶 دوستان برای از بین بردن محدودیت ۱۵ دقیقه ای یوتیوب آپلود ویدئو از شماره ایران استفاده کنیم یا خارج از ایران؟
@TheRaymondDev
@TheRaymondDev
Forwarded from Rust for Python developers
اگر شما هم به
Youtube Video
البته مدرس هندی هست (ولی لهجهاش قابل تحمل؛ بخصوص تو سرعت بالا ولی انگار
خوبیش اینه که
Axum علاقمند شدید (هرچند من بعد از این مورد احتمالا سراغ Actix هم خواهم رفت) این دوره هم خوبه بنظرم :Youtube Video
البته مدرس هندی هست (ولی لهجهاش قابل تحمل؛ بخصوص تو سرعت بالا ولی انگار
AI داره صحبت میکنه)خوبیش اینه که
axum 0.7.5 رو کار میکنه؛ بیشتر بدرد کسایی میخوره که بکند رو بلدند و روی Rust, Axum و کتابخونههای اینور میخوان سینتکس رو یاد بگیرند.YouTube
Master Rust Backend with Axum: Full-Stack Guide for Auth, PostgreSQL & Email Verification
🚀 Dive into the world of Rust backend development with our comprehensive tutorial on building a robust API using the Axum framework! Whether you're a beginner or an experienced developer, this video is tailored to enhance your skills in full-stack engineering…
Forwarded from Geek Alerts
تجربه من از خرید تیک آبی توییتر و چطور میشه خرید؟
اگه تصمیم دارید اکانت بلوتوییتر برای تیک آبی بخرید باید کاربر یکی از کشورهای US, Canada, Australia, New Zealand, Japan, the UK, Saudi Arabia, France, Germany, Italy, Portugal, and Spain باشد
برای این کار میشه یه شماره مجازی از کشورهای بالا خرید و توییتر رو با همون شماره وریفای کرد، از طرفی باید ساعت دستگاهتون با ساعت اون کشور یکی باشه
بعد گزینه خرید بلوتوییتر توی منو برای شما ظاهر میشه و میتونید مثلا با گیفت کارت اپل یا گوگل پلی پرداختش کنید که حدود ۸ تا ۱۰ دلار هست
توی کمپینی که ما برای چندتا اکانت تیک آبی خریدیم میزان بازخورد در بهترین حالت ۲۰ درصد افزایش داشت که خب اگه هدف شما از خرید تیک ابی افزایش ایمپرشن هست بهتون پیشنهاد نمیدم، با قیمت دلار امروز خرید هر ماه تیک ابی حدود ۴۰۰ هزار تومن هست که شاید استفادههای دیگهای برای شما داشته باشه
@geekalerts
اگه تصمیم دارید اکانت بلوتوییتر برای تیک آبی بخرید باید کاربر یکی از کشورهای US, Canada, Australia, New Zealand, Japan, the UK, Saudi Arabia, France, Germany, Italy, Portugal, and Spain باشد
برای این کار میشه یه شماره مجازی از کشورهای بالا خرید و توییتر رو با همون شماره وریفای کرد، از طرفی باید ساعت دستگاهتون با ساعت اون کشور یکی باشه
بعد گزینه خرید بلوتوییتر توی منو برای شما ظاهر میشه و میتونید مثلا با گیفت کارت اپل یا گوگل پلی پرداختش کنید که حدود ۸ تا ۱۰ دلار هست
توی کمپینی که ما برای چندتا اکانت تیک آبی خریدیم میزان بازخورد در بهترین حالت ۲۰ درصد افزایش داشت که خب اگه هدف شما از خرید تیک ابی افزایش ایمپرشن هست بهتون پیشنهاد نمیدم، با قیمت دلار امروز خرید هر ماه تیک ابی حدود ۴۰۰ هزار تومن هست که شاید استفادههای دیگهای برای شما داشته باشه
@geekalerts
Forwarded from 🎄 یک برنامه نویس تنبل (Raymond Dev)
🔶 دومین ویدئو از کانال یوتیوب TheRaymondDev
🔶 Tutorial Install Laravel UI and Admin Ranger
https://www.youtube.com/watch?v=pyFDUs5u_fY
کانال یوتیوب :
https://www.youtube.com/@TheRaymondDev
@TheRaymondDev
🔶 Tutorial Install Laravel UI and Admin Ranger
https://www.youtube.com/watch?v=pyFDUs5u_fY
کانال یوتیوب :
https://www.youtube.com/@TheRaymondDev
@TheRaymondDev
YouTube
Tutorial Install Laravel UI and Admin Ranger
In this video, We are going to install Laravel UI and Panel Admin Ranger.
Sources :
https:// github.com/Rayiumir/Learning
https:// github.com/Rayiumir/AdminRanger
https:// github.com/laravel/ui
Star the projects below to support. Don't forget to follow…
Sources :
https:// github.com/Rayiumir/Learning
https:// github.com/Rayiumir/AdminRanger
https:// github.com/laravel/ui
Star the projects below to support. Don't forget to follow…
Forwarded from PhiloLearn | فیلولرن
یه سوال
کاربرد دیتااستراکچر tree چیه؟ و کجا ها بیشتر استفاده میشه؟؟
و سوال مهم تر اینکه کاربرد self-balancing algorithm ها که اینه که بیان و دو طرف درخت رو به متوازن کنن چرا؟؟ یعنی چرا باید درخت باید متوازن بشه؟ دلیل خاصی داره؟
پ.ن: واقعا از افرادی که کامنت گذاشتن تشکر میکنم. بهم کلی کلید واژه جدید برای گشتن و یادگرفتن دادن ❤️
کاربرد دیتااستراکچر tree چیه؟ و کجا ها بیشتر استفاده میشه؟؟
و سوال مهم تر اینکه کاربرد self-balancing algorithm ها که اینه که بیان و دو طرف درخت رو به متوازن کنن چرا؟؟ یعنی چرا باید درخت باید متوازن بشه؟ دلیل خاصی داره؟
پ.ن: واقعا از افرادی که کامنت گذاشتن تشکر میکنم. بهم کلی کلید واژه جدید برای گشتن و یادگرفتن دادن ❤️
Forwarded from Sadra Codes
🚀 توی آپدیت جدید Hey، دیگه نیازی به دستکاری Environment Variable ها ندارید! (نصبش روی ویندوز واقعا بدون دردسر شده)
کافیه با کامند زیر hey رو آپدیت کنید.
واسه ست کردن توکن، کافیه کامند زیر رو تنها یک بار ران کنید و توکن خودتون رو ست کنید.
🔐 اگه توکنتون رو توی zshrc یا bashrc ست کردین، حتما پاکش کنید. کامند auth خیلی امنتره.
تمام این فیچر توسط سپهر عزیز (@SepehrRS) انجام شده. دمش گرم. :) ❤️
🔗 PR: https://github.com/lnxpy/hey/pull/22
کافیه با کامند زیر hey رو آپدیت کنید.
pipx install -U hey-mindsdb
واسه ست کردن توکن، کافیه کامند زیر رو تنها یک بار ران کنید و توکن خودتون رو ست کنید.
hey auth
🔐 اگه توکنتون رو توی zshrc یا bashrc ست کردین، حتما پاکش کنید. کامند auth خیلی امنتره.
تمام این فیچر توسط سپهر عزیز (@SepehrRS) انجام شده. دمش گرم. :) ❤️
🔗 PR: https://github.com/lnxpy/hey/pull/22
Forwarded from Gopher Academy
🔵 عنوان مقاله
The Two Reasons I Prefer Passing Struct Pointers Around
🟢 خلاصه مقاله:
استفاده از اشارهگرها یا نکردن آن هنگام ارسال ساختارها به توابع ممکن است گاهی اوقات دشوار باشد. در مقالهای که توسط پرسلاو نوشته شده، رویکردهای مبتنی بر اصول طراحی مبتنی بر دامنه (DDD) پیشنهاد شده تا در این تصمیمگیری کمک کند. این اصول به توسعهدهندگان کمک میکند تا کدی پایدارتر و قابل نگهداشت تر تولید کنند. معیارهایی که پرسلاو ارائه میدهد، شامل بررسی اندازه ساختار، پرهیز از تکرار دادهها، حفاظت از دادهها در برابر تغییرات ناخواسته، و بهبود کارایی برنامه با کاهش مصرف حافظه است. توصیه میشود که از اشارهگرها استفاده شود زمانی که ساختارها بزرگ هستند یا نیاز به مدیریت دادهها در محیطهای چند نخی وجود دارد. این توصیهها منجر به کدی میشود که نه تنها کارامدتر است بلکه از نظر منطقی نیز قابل فهمتر است.
🟣لینک مقاله:
https://preslav.me/2024/04/23/two-reasons-to-prefer-struct-pointers-in-golang/
➖➖➖➖➖➖➖➖
👑 @gopher_academy
The Two Reasons I Prefer Passing Struct Pointers Around
🟢 خلاصه مقاله:
استفاده از اشارهگرها یا نکردن آن هنگام ارسال ساختارها به توابع ممکن است گاهی اوقات دشوار باشد. در مقالهای که توسط پرسلاو نوشته شده، رویکردهای مبتنی بر اصول طراحی مبتنی بر دامنه (DDD) پیشنهاد شده تا در این تصمیمگیری کمک کند. این اصول به توسعهدهندگان کمک میکند تا کدی پایدارتر و قابل نگهداشت تر تولید کنند. معیارهایی که پرسلاو ارائه میدهد، شامل بررسی اندازه ساختار، پرهیز از تکرار دادهها، حفاظت از دادهها در برابر تغییرات ناخواسته، و بهبود کارایی برنامه با کاهش مصرف حافظه است. توصیه میشود که از اشارهگرها استفاده شود زمانی که ساختارها بزرگ هستند یا نیاز به مدیریت دادهها در محیطهای چند نخی وجود دارد. این توصیهها منجر به کدی میشود که نه تنها کارامدتر است بلکه از نظر منطقی نیز قابل فهمتر است.
🟣لینک مقاله:
https://preslav.me/2024/04/23/two-reasons-to-prefer-struct-pointers-in-golang/
➖➖➖➖➖➖➖➖
👑 @gopher_academy
Preslav Rachev
The Two Reasons I Prefer Passing Struct Pointers Around
Choosing consistency over performance.
Forwarded from PhiloLearn | فیلولرن (ArshA.l.R)
Forwarded from Learn Security | آموزش امنیت
This media is not supported in your browser
VIEW IN TELEGRAM
گوشی، ریستارت، خاموش روشن کردن و...
〰〰〰〰〰
〰〰〰〰〰
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ninja Learn | نینجا لرن
💎 حمله CSRF و چطوری ازش جلوگیری کنیم؟ 💎
امروز میخوایم در مورد یکی از حملات معروف تو دنیای وب، یعنی CSRF یا همون Cross-Site Request Forgery صحبت کنیم.
حالا CSRF چیه؟ 🤔
خب CSRF یه جور حملهست که هکر سعی میکنه با سوءاستفاده از سشن (session) کاربر، کارهایی رو به نمایندگی از کاربر انجام بده بدون اینکه اون کاربر خبر داشته باشه 😱. یعنی اگه کاربر توی یه سایت لاگین کرده باشه (مثل یه بانک یا شبکه اجتماعی) و بعد روی لینک یا دکمهای توی یه سایت دیگه کلیک کنه، هکر میتونه درخواستهایی رو به سایت اصلی (که کاربر لاگین کرده) بفرسته و کارهایی مثل انتقال پول یا تغییر اطلاعات کاربر رو انجام بده.
چجوری این حمله کار میکنه؟ 🎯
1️⃣ کاربر لاگین میکنه:
مثلا کاربر وارد حساب بانکی خودش میشه و یه سشن معتبر داره.
2️⃣ هکر یه لینک مخرب میسازه:
یه هکر توی یه سایت دیگه یه لینک یا فرم مخرب میسازه که درخواستهایی رو به حساب کاربر توی سایت بانکی ارسال میکنه.
3️⃣ کاربر روی لینک کلیک میکنه:
وقتی کاربر بدون اینکه خبر داشته باشه روی اون لینک کلیک میکنه، درخواست از طرف سشن کاربر به سرور سایت بانکی ارسال میشه.
4️⃣ هکر درخواستها رو اجرا میکنه:
سرور چون کاربر لاگین کرده، درخواست رو معتبر میدونه و اون کار انجام میشه (مثل انتقال پول، تغییر پسورد و...)
چجوری میشه جلوی CSRF رو گرفت؟ 🛡️
1️⃣ استفاده از CSRF Token
هر وقت کاربر یه فرم رو پر میکنه یا عملیاتی رو انجام میده، سرور یه توکن منحصربهفرد به فرم اضافه میکنه. این توکن رو سرور چک میکنه تا مطمئن بشه درخواست از طرف خود کاربر ارسال شده نه یه سایت دیگه. جنگو، فلکس و خیلی از فریمورکهای معروف به صورت پیشفرض از این مکانیزم پشتیبانی میکنن 🔑.
2️⃣ استفاده از روش POST به جای GET
برای درخواستهایی که نیاز به تایید کاربر دارن (مثل انتقال پول یا تغییر اطلاعات)، از POST استفاده کن، نه GET. توی درخواستهای GET دادهها توی URL قرار میگیرن که راحتتر میشه ازشون سوءاستفاده کرد. با POST درخواستها ایمنتر میشن 🛠️.
3️⃣ محدود کردن Referer Header
سرورها میتونن Referer header رو چک کنن تا مطمئن بشن که درخواستها از یه منبع قابل اعتماد (مثلاً همون سایت خودت) ارسال شدن نه از یه سایت دیگهای که هکرها توش لینک مخرب گذاشتن. اینجوری درخواستهای مشکوک رد میشن 🚫.
4️⃣ استفاده از Double Submit Cookies
یه راه دیگه برای جلوگیری از CSRF اینه که هم از کوکیها و هم از پارامترها استفاده کنی. توی این روش، یه کوکی حاوی CSRF token ارسال میشه و سرور مطمئن میشه که درخواست معتبره.
5️⃣ لاگاوت خودکار
اگه کاربر برای مدت زیادی هیچ فعالیتی توی سایت نداشت، اونو به صورت خودکار از سیستم خارج کن. اینجوری خطر CSRF کمتر میشه چون سشن کاربر خیلی طولانی باز نمیمونه ⏳.
جمعبندی ✅
فهمیدیم CSRF یه حمله جدیه که اگه درست ازش جلوگیری نشه، میتونه خیلی از اطلاعات حساس رو به خطر بندازه. با استفاده از CSRF Token، چک کردن Referer header و بقیه روشهایی که گفتیم، میتونی از اپلیکیشنهات در برابر این حمله محافظت کنی و امنیتشون رو بالا ببری 💪.
امید وارم مفید بوده باشه :)
@ninja_learn_ir
امروز میخوایم در مورد یکی از حملات معروف تو دنیای وب، یعنی CSRF یا همون Cross-Site Request Forgery صحبت کنیم.
حالا CSRF چیه؟ 🤔
خب CSRF یه جور حملهست که هکر سعی میکنه با سوءاستفاده از سشن (session) کاربر، کارهایی رو به نمایندگی از کاربر انجام بده بدون اینکه اون کاربر خبر داشته باشه 😱. یعنی اگه کاربر توی یه سایت لاگین کرده باشه (مثل یه بانک یا شبکه اجتماعی) و بعد روی لینک یا دکمهای توی یه سایت دیگه کلیک کنه، هکر میتونه درخواستهایی رو به سایت اصلی (که کاربر لاگین کرده) بفرسته و کارهایی مثل انتقال پول یا تغییر اطلاعات کاربر رو انجام بده.
چجوری این حمله کار میکنه؟ 🎯
1️⃣ کاربر لاگین میکنه:
مثلا کاربر وارد حساب بانکی خودش میشه و یه سشن معتبر داره.
2️⃣ هکر یه لینک مخرب میسازه:
یه هکر توی یه سایت دیگه یه لینک یا فرم مخرب میسازه که درخواستهایی رو به حساب کاربر توی سایت بانکی ارسال میکنه.
3️⃣ کاربر روی لینک کلیک میکنه:
وقتی کاربر بدون اینکه خبر داشته باشه روی اون لینک کلیک میکنه، درخواست از طرف سشن کاربر به سرور سایت بانکی ارسال میشه.
4️⃣ هکر درخواستها رو اجرا میکنه:
سرور چون کاربر لاگین کرده، درخواست رو معتبر میدونه و اون کار انجام میشه (مثل انتقال پول، تغییر پسورد و...)
چجوری میشه جلوی CSRF رو گرفت؟ 🛡️
1️⃣ استفاده از CSRF Token
هر وقت کاربر یه فرم رو پر میکنه یا عملیاتی رو انجام میده، سرور یه توکن منحصربهفرد به فرم اضافه میکنه. این توکن رو سرور چک میکنه تا مطمئن بشه درخواست از طرف خود کاربر ارسال شده نه یه سایت دیگه. جنگو، فلکس و خیلی از فریمورکهای معروف به صورت پیشفرض از این مکانیزم پشتیبانی میکنن 🔑.
2️⃣ استفاده از روش POST به جای GET
برای درخواستهایی که نیاز به تایید کاربر دارن (مثل انتقال پول یا تغییر اطلاعات)، از POST استفاده کن، نه GET. توی درخواستهای GET دادهها توی URL قرار میگیرن که راحتتر میشه ازشون سوءاستفاده کرد. با POST درخواستها ایمنتر میشن 🛠️.
3️⃣ محدود کردن Referer Header
سرورها میتونن Referer header رو چک کنن تا مطمئن بشن که درخواستها از یه منبع قابل اعتماد (مثلاً همون سایت خودت) ارسال شدن نه از یه سایت دیگهای که هکرها توش لینک مخرب گذاشتن. اینجوری درخواستهای مشکوک رد میشن 🚫.
4️⃣ استفاده از Double Submit Cookies
یه راه دیگه برای جلوگیری از CSRF اینه که هم از کوکیها و هم از پارامترها استفاده کنی. توی این روش، یه کوکی حاوی CSRF token ارسال میشه و سرور مطمئن میشه که درخواست معتبره.
5️⃣ لاگاوت خودکار
اگه کاربر برای مدت زیادی هیچ فعالیتی توی سایت نداشت، اونو به صورت خودکار از سیستم خارج کن. اینجوری خطر CSRF کمتر میشه چون سشن کاربر خیلی طولانی باز نمیمونه ⏳.
جمعبندی ✅
فهمیدیم CSRF یه حمله جدیه که اگه درست ازش جلوگیری نشه، میتونه خیلی از اطلاعات حساس رو به خطر بندازه. با استفاده از CSRF Token، چک کردن Referer header و بقیه روشهایی که گفتیم، میتونی از اپلیکیشنهات در برابر این حمله محافظت کنی و امنیتشون رو بالا ببری 💪.
#csrf #امنیت