Hoppa direkt till innehåll

Säkerhetsuppdatering formulär

idag 11:26
Kampen mot spam-robotar fortsätter för systemutvecklare! Vi har många kunder som dras med att dom får spam-mail via våra formulär. Vi har länge varit motvilliga att införa en standardlösning för Captcha, dels för att det skickar data till tredjepart och dels för att det i regel erbjuder en jobbig användarupplevelse.

Vår lösning

SEP. 2025
27
Den 27:e september så kommer vi införa ett nytt system för formulärverifiering. Det går i grunden ut på att alla formulär som "POST:ar" data har ett nytt lager med verifikation. En webbsida kan anropas på för det här syftet två olika sätt, GET och POST; GET är när variabler/data skickas via adressen, tex "?id=1234", medan POST skickar dem "dolt" för användaren i anslutning till anropet till webbservern.
Så när ett sådant formulär laddas i Atlas så sparas formuläret lokalt på servern, vilka fält som finns och vilka som ska verifieras, samt en kod "atlas_token" som måste finnas med i datat som skickas av webbläsaren (detta sker automatiskt för en normal besökare) och för varje gång något "POST:as" så verifieras det mot den här lokala kopian för att kontrollera att allt är korrekt ifyllt.

Om "atlas_token" Saknas

Om atlas_token saknas så visas ett felmeddelande och sidan visas inte, utan bara en varning om att datat i formuläret var inkorrekt angivet.

Om "atlas_token" är felaktigt

Samma här, om det inte finns sparad information som atlas_token pekar på så kommer det upp ett felmeddelande om att formuläret har skickats in fel.

Om sessionen har gått ut

Den sparade informationen ligger på servern i 30 minuter, sedan anses koden och värdena ha utgått, och ett felmeddelande visas.

Om man skickar in ett formulär flera gånger

När en formulärverifiering lyckats så laddas sidan som den ska utan felmeddelande, men klickar man på tillbaka-knappen i webbläsaren och skickar formuläret igen så kommer ett felmeddelande för att verifieringen har markerats som använd. I det här felmeddelandet finns en knapp för att gå tillbaka, och klickar man på den (eller klickar tillbaka i webbläsaren och laddar om formuläret) så har vi sparat det data du försökte spara/skicka och förifyller det i formuläret.
Detta förhindrar ett normalt användande som kan ha förekommit - en admin eller användare vill skapa flera liknande poster i databasen, fyller i formuläret, klickar på skicka/spara och sen går tillbaka och ändrar en del och klickar på skicka/spara. Detta går alltså inte längre.

Varför?

Anledningen till allt detta är som sagt spam-robotar som vill skicka mail med länkar hejvilt via publika formulär. Men varför just den här lösningen? Jo, det är helt enkelt för att Atlas är ett stort system med massor av kod utspritt i massor av olika funktioner med en massa olika formulär. Istället för att försöka leta rätt på alla ställen i koden där vi använder formulär och lägga in specifika valideringar för varje syfte så är det enklare och mer felsäkert att göra en global funktion.
Svagheten med den här lösning är av samma anledning - det kan finnas formulär i Atlas som inte använder våra standardfunktioner för att skapa formulär och därmed saknar funktionen att skapa underlaget för formulärverifieringen, så hör av er via supportloggen om ni upptäcker att något formulär ger felmeddelande vid normalt användande.

Beta

Den här lösningen är redan nu lanserad i documentation Betaläge och ni kan testa den och se om ni tycker den verkar funka som den ska, och rapportera eventuella buggar i AtlasCMSSupport