# ተጽዕኖ የጎደሉ የደህንነት ራስጌዎች ጠቅ ማድረግን፣ የጣቢያን ስክሪፕት ማድረግ (XSS) ወይም የአገልጋይ አካባቢ መረጃ ለመሰብሰብ ጥቅም ላይ ሊውሉ ይችላሉ [S2]። እንደ Content-Security-Policy (CSP) ወይም X-Frame-Options ያሉ ራስጌዎች በመንገዶች ላይ ወጥነት በሌለው መልኩ ሲተገበሩ አጥቂዎች ጣቢያ-ሰፊ የደህንነት መቆጣጠሪያዎችን ለማለፍ የተወሰኑ ያልተጠበቁ መንገዶችን ኢላማ ማድረግ ይችላሉ።
የስር መንስኤ
Next.js ገንቢዎች በnext.config.js የheaders ንብረቱን [S2]ን በመጠቀም የምላሽ ራስጌዎችን እንዲያዋቅሩ ያስችላቸዋል። ይህ ውቅረት የዱር ካርዶችን እና መደበኛ አገላለጾችን [S2] የሚደግፍ የመንገድ ማዛመጃን ይጠቀማል። የደህንነት ድክመቶች ብዙውን ጊዜ የሚነሱት ከ፡-
- ያልተሟላ የመንገድ ሽፋን፡ ዋይልድ ካርድ ቅጦች (ለምሳሌ፡
/path*) ሁሉንም የታቀዱ ንዑስ ክፍሎችን ላይሸፍኑ ይችላሉ፣ጎጆ ገፆችን ያለ የደህንነት ራስጌዎች ይተዋል [S2]። - መረጃን ይፋ ማድረግ፡ በነባሪነት፣ Next.js የ
X-Powered-Byአርዕስትን ሊያካትት ይችላል፣ይህም በpoweredByHeaderውቅረት ZXCVFIZ2.VBETOKEN1ZXCV ውቅረት በኩል በግልፅ ካልተሰናከለ በስተቀር የማዕቀፍ ስሪቱን ያሳያል። - CORS የተሳሳተ ውቅረት፡ በ
Access-Control-Allow-Originራስጌዎች በheadersድርድር ውስጥ ያልተፈቀደ የመነሻ አቋራጭ መዳረሻን ሊፈቅድ ይችላል ZXCVFIZXVIBETOKEN.
ኮንክሪት ጥገናዎች
- የኦዲት ዱካዎች፡ ሁሉም የ
sourceቅጦች በnext.config.jsውስጥ ተገቢ የሆኑ የዱር ካርዶችን መጠቀማቸውን ያረጋግጡ (ለምሳሌ፡/:path*) አስፈላጊ በሚሆንበት ጊዜ ራስጌዎችን በአለምአቀፍ ደረጃ ተግባራዊ ለማድረግ ZXCVFIX. - የጣት አሻራን አሰናክል *:
poweredByHeader: falseበnext.config.jsውስጥ የX-Powered-Byራስጌ እንዳይላክ [S2] ያዘጋጁ። - CORS ይገድቡ *፡
Access-Control-Allow-Originን በheadersውቅር [S2] ውስጥ ካሉ ዱርኮች ይልቅ ለተወሰኑ የታመኑ ጎራዎች ያዘጋጁ።
FixVibe እንዴት እንደሚፈትሽ
FixVibe አፕሊኬሽኑን በመጎብኘት እና የተለያዩ መንገዶችን የደህንነት ራስጌዎችን በማነፃፀር ንቁ የሆነ የዳቦ ምርመራ ማድረግ ይችላል። የX-Powered-By ራስጌ እና የContent-Security-Policy ወጥነት በተለያዩ የመንገዶች ጥልቀቶች ላይ በመተንተን FixVibe በ next.config.js ውስጥ የውቅር ክፍተቶችን መለየት ይችላል።