FixVibe
Covered by FixVibemedium

Ffurfweddiad Pennawd Diogelwch Annigonol

Mae cymwysiadau gwe yn aml yn methu â gweithredu penawdau diogelwch hanfodol, gan adael defnyddwyr yn agored i sgriptio traws-safle (XSS), clickjacking, a chwistrellu data. Trwy ddilyn canllawiau diogelwch gwe sefydledig a defnyddio offer archwilio fel Arsyllfa MDN, gall datblygwyr galedu eu cymwysiadau yn sylweddol yn erbyn ymosodiadau cyffredin ar borwr.

CWE-693

Effaith

Mae absenoldeb penawdau diogelwch yn caniatáu i ymosodwyr berfformio clickjacking, dwyn cwcis sesiwn, neu weithredu sgriptio traws-safle (XSS) [S1]. Heb y cyfarwyddiadau hyn, ni all porwyr orfodi ffiniau diogelwch, gan arwain at all-hidlo data posibl a chamau gweithredu heb awdurdod gan ddefnyddwyr [S2].

Achos Gwraidd

Mae'r mater yn deillio o fethiant i ffurfweddu gweinyddwyr gwe neu fframweithiau cymhwysiad i gynnwys penawdau diogelwch HTTP safonol. Er bod datblygiad yn aml yn blaenoriaethu HTML swyddogaethol a CSS [S1], mae ffurfweddau diogelwch yn cael eu hepgor yn aml. Mae offer archwilio fel Arsyllfa MDN wedi'u cynllunio i ganfod yr haenau amddiffynnol coll hyn a sicrhau bod y rhyngweithio rhwng y porwr a'r gweinydd yn ddiogel [S2].

Manylion Technegol

Mae penawdau diogelwch yn rhoi cyfarwyddebau diogelwch penodol i'r porwr i liniaru gwendidau cyffredin:

  • Polisi Diogelwch Cynnwys (CSP): Yn rheoli pa adnoddau y gellir eu llwytho, atal gweithredu sgript heb awdurdod a chwistrellu data [S1].
  • Strict-Transport-Security (HSTS): Yn sicrhau bod y porwr ond yn cyfathrebu dros gysylltiadau HTTPS diogel [S2].
  • X-Frame-Options: Yn atal y cais rhag cael ei rendro mewn iframe, sy'n amddiffyniad sylfaenol yn erbyn clickjacking [S1].
  • X-Content-Type-Options: Yn atal y porwr rhag dehongli ffeiliau fel math MIME gwahanol i'r hyn a nodir, gan atal ymosodiadau arogli MIME [S2].

Sut mae FixVibe yn ei brofi

Gallai FixVibe ganfod hyn trwy ddadansoddi penawdau ymateb HTTP cymhwysiad gwe. Trwy feincnodi’r canlyniadau yn erbyn safonau Arsyllfa MDN [S2], gall FixVibe fflagio penawdau coll neu sydd wedi’u camgyflunio megis CSP, HSTS, ac X-Frame.

Trwsio

Diweddarwch y gweinydd gwe (e.e., Nginx, Apache) neu offer canol y rhaglen i gynnwys y penawdau canlynol ym mhob ymateb fel rhan o ystum diogelwch safonol [S1]:

  • Cynnwys-Diogelwch-Polisi: Cyfyngu ffynonellau adnoddau i barthau dibynadwy.
  • Strict-Transport-Security: Gorfodi HTTPS gyda max-age hir.
  • Dewisiadau Math-X-Cynnwys: Gosodwch i nosniff [S2].
  • X-Frame-Options: Gosodwch i DENY neu SAMEORIGIN i atal clicjacking [S1].