FixVibe
Covered by FixVibemedium

Suidheachadh bann-cinn tèarainteachd mì-fhreagarrach

Gu tric chan eil tagraidhean lìn a’ cur an gnìomh cinn-cinn tèarainteachd riatanach, a’ fàgail luchd-cleachdaidh fosgailte do sgrìobhadh thar-làraich (XSS), clickjacking, agus in-stealladh dàta. Le bhith a’ leantainn stiùiridhean tèarainteachd lìn stèidhichte agus a’ cleachdadh innealan sgrùdaidh leithid Amharclann MDN, faodaidh luchd-leasachaidh na tagraidhean aca a chruadhachadh gu mòr an aghaidh ionnsaighean cumanta stèidhichte air brabhsair.

CWE-693

Buaidh

Leis nach eil cinn-cinn tèarainteachd a’ leigeil le luchd-ionnsaigh cliogadh a dhèanamh, briosgaidean seisean a ghoid, no sgrìobhadh thar-làraich a chuir an gnìomh (XSS) [S1]. Às aonais an stiùiridh seo, chan urrainn do bhrobhsairean crìochan tèarainteachd a chuir an gnìomh, a dh’ adhbhraicheas gluasad dàta a dh’ fhaodadh a bhith ann agus gnìomhan cleachdaiche gun chead [S2].

Bun-adhbhar

Tha a’ chùis mar thoradh air fàilligeadh ann a bhith a’ rèiteachadh frithealaichean lìn no frèaman tagraidh gus bannan-cinn tèarainteachd HTTP àbhaisteach a ghabhail a-steach. Ged a tha leasachadh gu tric a’ toirt prìomhachas do HTML gnìomh agus CSS [S1], bidh rèiteachadh tèarainteachd gu tric air am fàgail air falbh. Tha innealan sgrùdaidh leithid Amharclann MDN air an dealbhadh gus na sreathan dìon sin a tha a dhìth a lorg agus dèanamh cinnteach gu bheil an eadar-obrachadh eadar am brabhsair agus an frithealaiche tèarainte [S2].

Mion-fhiosrachadh Teicnigeach

Bidh cinn-cinn tèarainteachd a’ toirt stiùiridhean tèarainteachd sònraichte don bhrobhsair gus so-leòntachd cumanta a lasachadh:

  • Poileasaidh Tèarainteachd Susbaint (CSP): Smachdan dè na goireasan a ghabhas luchdachadh, a ’cur casg air coileanadh sgriobtaichean gun chead agus in-stealladh dàta [S1].
  • Strict-Transport-Security (HSTS): A’ dèanamh cinnteach nach bi am brobhsair a’ conaltradh ach thairis air ceanglaichean tèarainte HTTPS [S2].
  • X-Frame-Options: A ’cur casg air an tagradh bho bhith air a thoirt seachad ann an iframe, a tha na phrìomh dhìon an aghaidh cliogadh [S1].
  • X-Content-Type-Options: A’ cur casg air a’ bhrobhsair bho bhith ag eadar-mhìneachadh fhaidhlichean mar sheòrsa MIME eadar-dhealaichte seach na tha air a shònrachadh, a’ cur stad air ionnsaighean sniffing MIME [S2].

Mar a nì FixVibe deuchainn air a shon

Dh’ fhaodadh FixVibe seo a lorg le bhith a’ dèanamh anailis air cinn-cinn freagairt HTTP ann an tagradh lìn. Le bhith a’ tomhas nan toraidhean a rèir inbhean Amharclann MDN [S2], faodaidh FixVibe bratach a chuir air cinn a tha a dhìth no a tha air an droch rèiteachadh leithid CSP, HSTS, agus X-Frame.

Ceartaich

Ùraich am frithealaiche lìn (me, Nginx, Apache) no bathar-bog an tagraidh gus na cinn a leanas a thoirt a-steach anns a h-uile freagairt mar phàirt de shuidheachadh tèarainteachd àbhaisteach [S1]:

  • Susbaint-Tèarainteachd-Poileasaidh: Cuir bacadh air tobraichean stòrais gu raointean earbsach.
  • Strict-Transport-Tèarainteachd: Cuir an gnìomh HTTPS le max-age fada.
  • X-Content-Type-Roghainnean: Suidhich gu nosniff [S2].
  • X-Frame-Options: Suidhich gu DENY no SAMEORIGIN gus casg a chuir air cliogadh [S1].