FixVibe
Covered by FixVibemedium

Sernavên Ewlekariya HTTP: Ji bo Parastina Aliyê Gerokê CSP û HSTS bicîh dikin

Vê lêkolînê rola krîtîk a sernavên ewlehiyê yên HTTP, bi taybetî Siyaseta Ewlekariya Naverokê (CSP) û Ewlekariya Veguhastinê ya hişk (HSTS), di parastina sepanên malperê de ji qelsiyên hevpar ên wekî Protokola Cross-Site (ZXCOLVEVZXCV0) vedikole (CSP0) êrîşên.

CWE-1021CWE-79CWE-319

Rola Serkêşên Ewlekariyê

Sernavên ewlehiyê yên HTTP ji bo sepanên webê mekanîzmayek standard peyda dikin da ku rêwerzan bide gerokan ku di dema danişînê de polîtîkayên ewlehiyê yên taybetî bicîh bînin [S1] [S2]. Van sernivîsan wekî qatek krîtîk a berevaniyê-bi-kûr tevdigerin, xetereyên ku dibe ku tenê bi mantiqa serîlêdanê bi tevahî neyên çareser kirin kêm bikin.

Polîtîkaya Ewlekariya Naverokê (CSP)

Polîtîkaya Ewlekariya Naverokê (CSP) qatek ewlehiyê ye ku dibe alîkar ku hin cûreyên êrîşan werin tespîtkirin û sivikkirin, di nav de Nivîsandina Xaçerê (XSS) û êrîşên derzîlêdana daneyê [S1]. CSP bi danasîna polîtîkayek ku diyar dike ka kîjan çavkaniyên dînamîkî têne barkirin, rê li ber gerokê digire ku skrîptên xerab ên ku ji hêla êrîşkar [S1] ve hatine derzî kirin, bicîh bîne. Ev bi bandor darvekirina koda nedestûrdar sînordar dike tewra ku di serîlêdanê de zerarek derzîlêdanê hebe.

Ewlekariya Veguhastinê ya hişk a HTTP (HSTS)

Ewlekariya Veguhastinê ya hişk a HTTP (HSTS) mekanîzmayek e ku dihêle malperek gerokan agahdar bike ku ew tenê bi karanîna HTTPS, ji bilî HTTP [S2], divê bigihîje wê. Ev li dijî êrîşên daxistina protokolê û revandina cookie-yê diparêze bi piştrastkirina ku hemî danûstendina di navbera xerîdar û serverê de [S2] şîfrekirî ye. Dema ku gerokek vê sernavê werdigire, ew ê bixweber hemî hewildanên paşerojê yên gihîştina malperê bi riya HTTP-ê veguherîne daxwazên HTTPS.

Encamên Ewlekariyê yên Serên Wenda

Serlêdanên ku nekarin van sernivîsan bicîh bînin di xetereyek girîng a lihevhatina ji hêla xerîdar de ne. Nebûna Siyaseta Ewlekariya Naverokê rê dide pêkanîna nivîsarên bêdestûr, ku dikare bibe sedema revandina danişînê, derxistina daneya bêdestûr, an xerakirina [S1]. Bi heman rengî, nebûna sernavek HSTS bikarhêneran ji êrîşên mirov-di-navîn (MITM) re dihêle, nemaze di qonaxa pêwendiya destpêkê de, ku êrîşkar dikare rê li trafîkê bigire û bikarhêner ber bi guhertoyek xirab an neşîfrekirî ya malperê ZXCVFIXZVIBETOKEN1 vegerîne.

FixVibe çawa ji bo wê diceribîne

FixVibe jixwe vê yekê wekî kontrolek şopandina pasîf vedihewîne. headers.security-headers ji bo hebûn û hêza Content-Security-Policy, Strict-Transport-Security, X-Frame-Options an ZXCVFIXXVIBETOKEN4, metadata bersiva HTTP ya giştî teftîş dike, X-Content-Type-Options, Referrer-Policy, û Permissions-Policy. Ew nirxên winda an qels bêyî lêpirsînên îstîsmarê radigihîne, û tavilê rastkirina wê ji bo sazkirinên serîlêdana hevpar û CDN-ê nimûneyên sernavê amade-amade dide.

Rêbernameya Çareseriyê

Ji bo baştirkirina pozîsyona ewlehiyê, pêdivî ye ku serverên malperê bêne mîheng kirin ku van sernavan li hemî rêyên hilberînê vegerînin. Pêdivî ye ku CSP-ya bihêz li gorî hewcedariyên çavkaniyê yên taybetî yên serîlêdanê were veguheztin, rêwerzên mîna script-src û object-src bikar bîne da ku hawîrdorên darvekirina nivîsê bi sînor bike ZXCVFIXVIBETOKEN4. Ji bo ewlehiya veguhastinê, sernavê Strict-Transport-Security divê bi rêwerzek max-age-ya guncan ve were çalak kirin da ku parastina domdar li seranserê danişînên bikarhêner [S2] misoger bike.