FixVibe
Covered by FixVibemedium

Nga Pane Haumarutanga HTTP: Te whakatinana i te CSP me te HSTS mo te Tiaki Tirotiro-Taha

Ka tirotirohia e tenei rangahau te mahi nui a nga pane haumaru HTTP, ina koa te Kaupapahere Haumarutanga Ihirangi (CSP) me te HTTP Strict Transport Security (HSTS), ki te tiaki i nga tono paetukutuku mai i nga whakaraeraetanga noa penei i te Tuhituhi Whakawhiti-Pae (ZXCVFIXXVIBETOKEN) me te kawa whakararo.

CWE-1021CWE-79CWE-319

Te Mahi a nga Pane Haumarutanga

Ka whakaratohia e nga pane haumaru HTTP he tikanga paerewa mo nga tono tukutuku ki te ako i nga kaitirotiro ki te whakauru i nga kaupapa here haumarutanga i roto i te huihuinga [S1] [S2]. Ko enei pane ka mahi hei paparanga nui o te whakamarumaru-hohonu, te whakaiti i nga tupono kaore pea e tino whakatutukihia e te arorau tono anake.

Kaupapahere Haumarutanga Ihirangi (CSP)

Ko te Kaupapa Here Haumarutanga Ihirangi (CSP) he paparanga haumaru e awhina ana ki te kite me te whakaiti i etahi momo whakaeke, tae atu ki te Tuhituhi Whakawhiti Pae (XSS) me nga whakaeke werohanga raraunga [S1]. Ma te tautuhi i tetahi kaupapa here e tohu ana ko nga rauemi hihiri e whakaaetia ana kia utaina, ka aukati a CSP i te kaitirotiro kia kore e mahia nga tuhinga kino i werohia e te kaitukino [S1]. Ma tenei ka aukati i te mahi o te waehere kore mana ahakoa he whakaraeraetanga werohanga kei roto i te tono.

HTTP Haumarutanga Whakanuia Waka (HSTS)

Ko te HTTP Strict Transport Security (HSTS) he tikanga e taea ai e te paetukutuku te whakamohio ki nga kaitirotiro me uru noa ma te whakamahi HTTPS, kaua ki te HTTP [S2]. Ka parea tenei ki nga whakaeke whakaheke kawa me te kahaki pihikete ma te whakarite kia whakamunatia nga korero katoa i waenga i te kiritaki me te tūmau [S2]. Ina whiwhi te kaitirotiro i tenei pane, ka huri aunoa i nga nganatanga katoa o muri mai ki te uru ki te pae ma te HTTP ki nga tono HTTPS.

Nga Whainga Haumarutanga o nga Pane Ngaro

Ko nga tono karekau ki te whakatinana i enei pane ka nui ake te tupono ki te whakaraerae taha-kiritaki. Ko te kore o te Kaupapahere Haumarutanga Ihirangi ka taea te whakahaere i nga tuhinga kore mana, tera pea ka arai ki te kahaki i te huihuinga, te tangohanga raraunga kore mana, te whakaheke ranei i te [S1]. Waihoki, ko te kore o te pane pane HSTS ka raru nga kaiwhakamahi ki nga whakaeke tangata-i-te-waenganui (MITM), ina koa i te wa tuatahi o te hononga hononga, ka taea e te kaiwhaiwhai te haukoti i nga waka me te whakahoki ano i te kaiwhakamahi ki tetahi putanga kino, kore whakamunatia ranei o te pae [S2].

Me pehea te whakamatautau a FixVibe

Kua whakauruhia e FixVibe tenei hei tirotiro karapa hāngū. Ka tirotirohia e headers.security-headers nga metadata whakautu HTTP tūmatanui mo te aroaro me te kaha o Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, frame-ancestors5, Referrer-Policy, me Permissions-Policy. E whakaatu ana i nga uara ngaro, ngoikore ranei me te kore e whakamahi i nga tirotiro, a, ko tana tere whakatika ka homai he tauira pane kua reri mo te taupānga noa me nga tatūnga CDN.

Aratohu Whakatikatika

Hei whakapai ake i te noho haumarutanga, me whirihora nga tūmau tukutuku ki te whakahoki i enei pane ki nga huarahi whakaputa katoa. Ko te CSP pakari me whakarite ki nga whakaritenga rauemi motuhake o te tono, ma te whakamahi i nga tohutohu penei i te script-src me te object-src hei whakawhāiti i nga taiao mahi tuhinga [S1]. Mo te haumarutanga waka, me whakahoe te pane Strict-Transport-Security me te tohutohu max-age kia tika te whakamarumaru puta noa i nga waahi kaiwhakamahi [S2].