અસર
સુરક્ષા હેડરની ગેરહાજરી હુમલાખોરોને ક્લિકજેકિંગ કરવા, સત્ર કૂકીઝની ચોરી કરવા અથવા ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS) [S1] ચલાવવાની મંજૂરી આપે છે. આ સૂચનાઓ વિના, બ્રાઉઝર્સ સુરક્ષા સીમાઓને લાગુ કરી શકતા નથી, જે સંભવિત ડેટા એક્સફિલ્ટરેશન અને અનધિકૃત વપરાશકર્તા ક્રિયાઓ [S2] તરફ દોરી જાય છે.
મૂળ કારણ
આ સમસ્યા પ્રમાણભૂત HTTP સુરક્ષા હેડરોને સમાવવા માટે વેબ સર્વર્સ અથવા એપ્લિકેશન ફ્રેમવર્કને ગોઠવવામાં નિષ્ફળતાને કારણે ઉદ્ભવે છે. જ્યારે વિકાસ ઘણીવાર કાર્યાત્મક HTML અને CSS [S1] ને પ્રાથમિકતા આપે છે, ત્યારે સુરક્ષા ગોઠવણીને વારંવાર અવગણવામાં આવે છે. MDN ઓબ્ઝર્વેટરી જેવા ઓડિટીંગ ટૂલ્સ આ ગુમ થયેલ રક્ષણાત્મક સ્તરોને શોધવા અને બ્રાઉઝર અને સર્વર વચ્ચેની ક્રિયાપ્રતિક્રિયા સુરક્ષિત [S2] છે તેની ખાતરી કરવા માટે રચાયેલ છે.
તકનીકી વિગતો
સુરક્ષા હેડરો બ્રાઉઝરને સામાન્ય નબળાઈઓને ઘટાડવા માટે ચોક્કસ સુરક્ષા નિર્દેશો પ્રદાન કરે છે:
- કન્ટેન્ટ સિક્યોરિટી પૉલિસી (CSP): અનધિકૃત સ્ક્રિપ્ટ એક્ઝિક્યુશન અને ડેટા ઇન્જેક્શન [S1] અટકાવીને, કયા સંસાધનોને લોડ કરી શકાય તે નિયંત્રિત કરે છે.
- સખ્ત-પરિવહન-સુરક્ષા (HSTS): ખાતરી કરે છે કે બ્રાઉઝર ફક્ત સુરક્ષિત HTTPS કનેક્શન્સ [S2] પર વાતચીત કરે છે.
- X-ફ્રેમ-વિકલ્પો: એપ્લિકેશનને iframe માં રેન્ડર થવાથી અટકાવે છે, જે [S1] ક્લિકજેકિંગ સામે પ્રાથમિક સંરક્ષણ છે.
- X-સામગ્રી-પ્રકાર-વિકલ્પો: બ્રાઉઝરને ઉલ્લેખિત કરતાં અલગ MIME પ્રકાર તરીકે ફાઈલોનું અર્થઘટન કરતા અટકાવે છે, MIME-સ્નિફિંગ એટેક [S2] અટકાવે છે.
FixVibe તેના માટે કેવી રીતે પરીક્ષણ કરે છે
FixVibe વેબ એપ્લિકેશનના HTTP પ્રતિભાવ હેડરોનું વિશ્લેષણ કરીને આને શોધી શકે છે. MDN ઓબ્ઝર્વેટરી ધોરણો [S2], FixVibe, CSP, ZXCVFIXVIBETOKEN4ZXFCV, ZXCVFIXVIBETOKEN4-ZXFCV, CSP જેવા ગુમ થયેલ અથવા ખોટી ગોઠવણી કરેલ હેડરને ફ્લેગ કરી શકે છે.
ઠીક કરો
માનક સુરક્ષા મુદ્રા [S1] ના ભાગ રૂપે બધા પ્રતિસાદોમાં નીચેના હેડરોનો સમાવેશ કરવા માટે વેબ સર્વર (દા.ત., Nginx, Apache) અથવા એપ્લિકેશન મિડલવેરને અપડેટ કરો:
- સામગ્રી-સુરક્ષા-નીતિ: સંસાધન સ્ત્રોતોને વિશ્વસનીય ડોમેન્સ સુધી મર્યાદિત કરો.
- કડક-પરિવહન-સુરક્ષા: લાંબા
max-ageસાથે HTTPS લાગુ કરો. - X-સામગ્રી-પ્રકાર-વિકલ્પો:
nosniff[S2] પર સેટ કરો. - X-ફ્રેમ-વિકલ્પો:
DENYઅથવાSAMEORIGINક્લિકજેકિંગને રોકવા માટે [S1] પર સેટ કરો.