FixVibe
Covered by FixVibemedium

Tsy ampy ny Security Header Configuration

Matetika ny fampiharana an-tranonkala dia tsy mahavita mametraka lohapejy fiarovana tena ilaina, ka mahatonga ny mpampiasa hiharan'ny scripting cross-site (XSS), clickjacking, ary tsindrona data. Amin'ny fanarahana ny torolàlana momba ny fiarovana amin'ny tranonkala sy ny fampiasana fitaovana fanaraha-maso toy ny MDN Observatory, ny mpamorona dia afaka manamafy ny fampiharana azy ireo amin'ny fanafihana mahazatra mifototra amin'ny navigateur.

CWE-693

Fiantraikany

Ny tsy fisian'ny lohapejy fiarovana dia ahafahan'ny mpanafika manao clickjacking, mangalatra cookies session, na manatanteraka scripting cross-site (XSS) [S1]. Raha tsy misy ireo toromarika ireo, dia tsy afaka mampihatra ny fetran'ny fiarovana ny mpitety tranonkala, mitarika amin'ny famoahana angon-drakitra mety hitranga sy ny hetsika ataon'ny mpampiasa tsy nahazoana alalana [S2].

Antony fototra

Ny olana dia avy amin'ny tsy fahombiazan'ny fampifanarahana ireo mpizara tranonkala na rafitra fampiharana mba hampidirana lohapejy fiarovana HTTP mahazatra. Raha ny fampandrosoana matetika dia mametraka laharam-pahamehana amin'ny HTML sy CSS [S1] miasa, dia matetika no avela ny fandrindrana fiarovana. Ny fitaovana fanaraha-maso toy ny MDN Observatory dia natao hamantarana ireo sosona fiarovana tsy hita ireo ary hiantohana ny fifandraisana eo amin'ny navigateur sy ny mpizara dia azo antoka [S2].

Fanazavana ara-teknika

Ny lohatenin'ny fiarovana dia manome torolalana fiarovana manokana ho an'ny navigateur mba hanalefahana ny fahalemena mahazatra:

  • Politika fiarovana amin'ny atiny (CSP): Mifehy izay loharano azo entina, misoroka ny famonoana script tsy nahazoana alalana sy ny fampidirana angon-drakitra [S1].
  • Security-Transport-Security (HSTS): Miantoka ny fifandraisana amin'ny HTTPS azo antoka [S2] ihany ny navigateur.
  • X-Frame-Options: Manakana ny fampiharana tsy havoaka amin'ny iframe, izay fiarovana voalohany amin'ny clickjacking [S1].
  • X-Content-Type-Options: Manakana ny navigateur tsy handika ny rakitra ho karazana MIME hafa noho izay voalaza, manakana ny fanafihana miforitra MIME [S2].

Ahoana no andrana FixVibe momba izany

FixVibe dia afaka mamantatra izany amin'ny alàlan'ny famakafakana ny lohatenin'ny valin'ny HTTP amin'ny rindranasa iray. Amin'ny alàlan'ny fanombanana ny valiny mifanaraka amin'ny fenitry ny MDN Observatory [S2], FixVibe dia afaka manerika lohapejy tsy hita na diso, toy ny CSP, HSTS, ary- XXCV Option.

Fix

Havaozy ny mpizara tranonkala (oh: Nginx, Apache) na ny middleware fampiharana mba hampidirana ireto lohapejy manaraka ireto amin'ny valinteny rehetra ho ampahany amin'ny fihetsika fiarovana mahazatra [S1]:

  • Content-Security-Policy: Fehezo ny loharanon-karena amin'ny sehatra azo itokisana.
  • Strict-Transport-Security: Ampiharo ny HTTPS amin'ny max-age lava.
  • X-Content-Type-Options: Apetraho amin'ny nosniff [S2].
  • X-Frame-Options: Apetraho amin'ny DENY na SAMEORIGIN mba hisorohana ny clickjacking [S1].