Ny andraikitry ny Loham-piarovana
Ny lohatenin'ny fiarovana HTTP dia manome rafitra manara-penitra ho an'ny rindranasa an-tranonkala mba hanoroana ny mpitendry hampihatra ny politika fiarovana manokana mandritra ny fivoriana [S1] [S2]. Ireo lohapejy ireo dia miasa ho toy ny sarin'ny fiarovana lalina, manalefaka ny loza mety tsy ho voavaha tanteraka amin'ny lojika fampiharana fotsiny.
Politika fiarovana amin'ny atiny (CSP)
Politika fiarovana amin'ny atiny (CSP) dia sosona fiarovana izay manampy amin'ny fanalefahana ny karazana fanafihana sasany, anisan'izany ny Cross-Site Scripting (XSS) sy ny fanafihana tsindrona angona [S1]. Amin'ny alàlan'ny famaritana politika izay mamaritra ny loharanon-karena mavitrika avela hampidirina, CSP dia manakana ny mpitety tranonkala tsy hanao sora-baventy natsindron'ny mpanafika [S1]. Izany dia mametra amin'ny fomba mahomby ny fanatanterahana ny code tsy nahazoana alalana na dia misy vulnerability tsindrona aza ao amin'ny fampiharana.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) dia fomba iray ahafahan'ny vohikala mampahafantatra amin'ny mpitety tranonkala fa tokony hampiasaina amin'ny HTTPS ihany izy io fa tsy HTTP [S2]. Miaro amin'ny fanafihana fampidinana ny protocole sy ny fanondranana cookie izany amin'ny alàlan'ny fiantohana fa [S2] ny fifandraisana rehetra eo amin'ny mpanjifa sy ny mpizara. Raha vantany vao mahazo an'io lohapejy io ny mpitety tranonkala iray, dia hamadika ho azy ho amin'ny fangatahana HTTPS ny andrana rehetra manaraka ny fidirana amin'ny tranokala amin'ny alàlan'ny HTTP.
Fiantraikan'ny fiarovana amin'ny lohateny tsy hita
Ireo fampiharana izay tsy manatanteraka ireo lohapejy ireo dia atahorana kokoa amin'ny marimaritra iraisana amin'ny lafiny mpanjifa. Ny tsy fisian'ny politikan'ny fiarovana votoaty dia ahafahana manatanteraka ny sora-baventy tsy nahazoana alalana, izay mety hitarika ho amin'ny fakàna an-keriny fotoam-pivoriana, famoahana angon-drakitra tsy nahazoana alalana, na fanimbana [S1]. Toy izany koa, ny tsy fisian'ny lohapejy HSTS dia mahatonga ny mpampiasa ho mora voan'ny fanafihana man-in-the-middle (MITM), indrindra mandritra ny dingana voalohany amin'ny fifandraisana, izay ahafahan'ny mpanafika manakana ny fifamoivoizana ary mamindra ny mpampiasa amin'ny dikan-teny ratsy na tsy voafehy amin'ny tranokala [S2].
Ahoana no andrana FixVibe momba izany
FixVibe dia efa ahitana an'io ho fizahana scan passive. headers.security-headers dia manara-maso ny metadata valintenin'ny HTTP ho an'ny daholobe momba ny fisian'ny Content-Security-Policy, Strict-Transport-Security, X-Frame-Options na Content-Security-Policy, Strict-Transport-Security, X-Frame-Options na ZXCVFIXVIBETOKEN4ZCVIXCV5, Referrer-Policy, ary Permissions-Policy. Mitatitra ny soatoavina tsy hita na osa tsy misy fanararaotana, ary ny bitsika fanamboarana azy dia manome ohatra amin'ny loha-hevitra efa vonona ho an'ny fampiharana mahazatra sy CDN.
Torolàlana momba ny fanarenana
Mba hanatsarana ny fihetsika fiarovana dia tsy maintsy amboarina ny lohamilina mba hamerenana ireo lohapejy ireo amin'ny lalana famokarana rehetra. CSP matanjaka dia tokony hifanaraka amin'ny fepetra takian'ny loharano manokana, amin'ny fampiasana torolalana toy ny script-src sy object-src mba hamerana ny tontolo famonoana script [S1]. Ho an'ny fiarovana amin'ny fitaterana, ny lohatenin'ny Strict-Transport-Security dia tokony ho alefa miaraka amin'ny toromarika max-age mba hiantohana ny fiarovana maharitra mandritra ny fotoam-piasan'ny mpampiasa [S2].