FixVibe
Covered by FixVibemedium

Next.js Sernivîsa Ewlekariyê ya çewt li next.config.js

Serlêdanên Next.js yên ku next.config.js-ê ji bo rêveberiya sernavê bikar tînin, ji valahiyên ewlehiyê re gumanbar in heke şêwazên lihevhatina rê nerast bin. Vê lêkolînê vedikole ka çawa konfigurasyonên xelet ên wildcard û regex rê li ber windabûna sernavên ewlehiyê li ser rêyên hesas vedike û meriv çawa veavakirinê hişk dike.

CWE-1021CWE-200

Bandor

Sernavên ewlehiyê yên wenda dikarin werin bikar anîn da ku bikirtînin, nivîsandina navmalperê (XSS), an berhevkirina agahdariya li ser hawîrdora serverê [S2]. Dema ku sernavên wekî Content-Security-Policy (CSP) an X-Frame-Options bi awayekî nehevgirtî li ser rêyan têne sepandin, êrîşkar dikarin rêyên taybetî yên neparastî bikin hedef da ku kontrolên ewlehiyê yên li seranserê malperê derbas bikin ZXCVFENFIXX

Sedema bingehîn

Next.js destûrê dide pêşdebiran ku sernavên bersivê di next.config.js de bi karanîna taybetmendiya headers [S2] mîheng bikin. Ev veavakirin lihevhatina rêyê bikar tîne ku qertên hov û birêkûpêk [S2] piştgirî dike. Qelsiyên ewlehiyê bi gelemperî ji van derdikevin:

  • Navgirtina Rêya Netemam: Nimûneyên qertafên çolê (mînak, /path*) dibe ku hemî bineretên mebest negirin, rûpelên hêlînkirî bêyî sernavên ewlehiyê hiştin [S2].
  • Daxuyaniya Agahdariyê: Ji hêla xwerû, Next.js dibe ku sernavê X-Powered-By bihewîne, ku guhertoya çarçoweyê diyar dike heya ku bi eşkereyî neçalak bi rêya poweredByHeader veavakirina X-Powered-By.
  • CORS Veavakirina çewt: Sernivîsên Access-Control-Allow-Origin bi xeletî hatine pênasekirin di nav rêza headers de dikare rê bide gihîştina xaçerê ya bêdestûr ji bo daneyên hesas ZXCVEN2FIXZXVET.

Serastkirinên Beton

  • Nimûneyên Rêça Kontrolkirinê: Pê bawer bikin ku hemî qalibên source di next.config.js de qertên guncan bikar bînin (mînak, /:path*) da ku li cîhê ku hewce be /:path* sernavên gerdûnî bicîh bikin.
  • Çapkirina Tiliyê neçalak bike: poweredByHeader: false di next.config.js de bicîh bikin da ku sernavê X-Powered-By neyê şandin [S2].
  • CORS bisînordar bike: Access-Control-Allow-Origin li şûna qertên hovane di veavakirina headers [S2] de li ser domên pêbawer ên taybetî bicîh bikin.

FixVibe çawa ji bo wê diceribîne

FixVibe dikaribû bi xêzkirina serîlêdanê û berhevkirina sernavên ewlehiyê yên rêyên cihêreng vekolînek dergehek çalak pêk bîne. Bi analîzkirina sernavê X-Powered-By û hevgirtina Content-Security-Policy li ser kûrahiya rêyên cihêreng, FixVibe dikare valahiyên veavakirinê di next.config.js de nas bike.