# ተጽዕኖ የደህንነት ራስጌዎች አለመኖር አጥቂዎች ጠቅ ማድረግን እንዲሰሩ፣ የክፍለ ጊዜ ኩኪዎችን እንዲሰርቁ ወይም የጣቢያ አቋራጭ ስክሪፕት እንዲፈጽሙ ያስችላቸዋል (XSS) [S1]። እነዚህ መመሪያዎች ከሌሉ አሳሾች የደህንነት ድንበሮችን ሊያስፈጽሙ አይችሉም፣ ይህም ወደ ሊሆን የሚችል መረጃን ወደ ውጭ መውጣት እና ያልተፈቀደ የተጠቃሚ እርምጃዎች [S2] ያስከትላል።
የስር መንስኤ
ችግሩ የመጣው የድር አገልጋዮችን ወይም የመተግበሪያ ማዕቀፎችን መደበኛ የኤችቲቲፒ የደህንነት ራስጌዎችን ለማካተት ማዋቀር ካለመቻል ነው። ልማት ብዙውን ጊዜ ለተግባራዊ HTML እና CSS [S1] ቅድሚያ ሲሰጥ፣ የደህንነት ውቅሮች በተደጋጋሚ ይተዋሉ። እንደ ኤምዲኤን ኦብዘርቫቶሪ ያሉ የኦዲት መሳሪያዎች እነዚህን የጎደሉ የመከላከያ ንብርብሮችን ለመለየት እና በአሳሹ እና በአገልጋዩ መካከል ያለው መስተጋብር ደህንነቱ የተጠበቀ [S2] መሆኑን ለማረጋገጥ የተነደፉ ናቸው።
# ቴክኒካዊ ዝርዝሮች የደህንነት ራስጌዎች የተለመዱ ተጋላጭነቶችን ለመቅረፍ የተወሰኑ የደህንነት መመሪያዎችን ለአሳሹ ይሰጣሉ፡-
- የይዘት ደህንነት ፖሊሲ (CSP): የትኛዎቹ ሃብቶች ሊጫኑ እንደሚችሉ ይቆጣጠራል፣ ያልተፈቀደ የስክሪፕት አፈጻጸም እና የውሂብ መርፌ [S1] ይከላከላል።
- ጥብቅ-ትራንስፖርት-ደህንነት (HSTS): አሳሹ ደህንነቱ በተጠበቀ የኤችቲቲፒኤስ ግንኙነቶች [S2] መገናኘቱን ያረጋግጣል።
- ኤክስ-ፍሬም-አማራጮች፡ አፕሊኬሽኑ በiframe ውስጥ እንዳይቀርብ ይከለክላል፣ ይህም [S1] ን ጠቅ ከማድረግ ቀዳሚ መከላከያ ነው።
- X-ይዘት-አይነት-አማራጮች፡ አሳሹ ፋይሎችን ከተጠቀሰው በተለየ MIME እንዳይተረጉም ይከለክላል፣ MIME-sniffing [S2]ን በማስቆም።
FixVibe እንዴት እንደሚፈትሽ
FixVibe የድር መተግበሪያ የኤችቲቲፒ ምላሽ ራስጌዎችን በመተንተን ይህንን ማወቅ ይችላል። ውጤቱን ከኤምዲኤን ኦብዘርቫቶሪ ደረጃዎች [S2] ጋር በማነፃፀር፣ FixVibe የጎደሉ ወይም ያልተዋቀሩ ራስጌዎችን እንደ CSP፣ HSTS እና XXCV
አስተካክል።
እንደ መደበኛ የደህንነት አቀማመጥ [S1] አካል የሚከተሉትን ራስጌዎች በሁሉም ምላሾች ውስጥ ለማካተት የድር አገልጋዩን (ለምሳሌ፡ Nginx፣ Apache) ወይም የመተግበሪያ መካከለኛውን ያዘምኑ።
- የይዘት-ደህንነት-ፖሊሲ፡ የሀብት ምንጮችን ለታመኑ ጎራዎች መገደብ።
- ጥብቅ-ትራንስፖርት-ደህንነት፡ HTTPSን በረጅም
max-ageያስፈጽሙ። - X-ይዘት-አይነት-አማራጮች *: ወደ
nosniff[S2] አዘጋጅ. - X-ፍሬም-አማራጮች፡-
DENYወይምSAMEORIGINን ጠቅ ማድረግን ለመከላከል ወደ [S1] ያዘጋጁ።