FixVibe
Covered by FixVibemedium

Next.js Pane Haumarutanga Hapa te whirihora i muri.config.js

Ko nga tono Next.js e whakamahi ana i te next.config.js mo te whakahaere pane ka whakaraerae ki nga waahi haumarutanga mena ka hee nga tauira whakahoa huarahi. Ka tirotirohia e tenei rangahau he pehea nga whirihora pohehe me te regex e arai ana ki te ngaro o nga pane haumaru i runga i nga huarahi tairongo me te pehea e whakapakeke ai i te whirihoranga.

CWE-1021CWE-200

Paanga

Ka taea te whakamahi i nga pane haumarutanga ngaro ki te mahi clickjacking, tuhi whakawhiti-pae (XSS), kohikohi korero ranei mo te taiao tūmau [S2]. Ki te kore e rite te tono pane penei i te Content-Security-Policy (CSP) X-Frame-Options ranei i nga huarahi, ka taea e te hunga whakaeke te aro ki nga huarahi kore parenga motuhake ki te karo i nga mana haumarutanga whanui ZXCVFIXXVIBETOKEN3.

Take Putake

Next.js ka taea e nga kaihanga te whirihora i nga pane whakautu i roto i te next.config.js ma te whakamahi i te taonga headers [S2]. Ko tenei whirihoranga e whakamahi ana i te ara e tautoko ana i nga kaari mohoao me nga kii auau [S2]. Ko nga whakaraeraetanga haumarutanga ka puta mai i:

  • Karekau i te Whakaoti Ara: Karekau pea nga tauira kaari mohoao (hei tauira, /path*) e kore e kapi i nga huarahi iti katoa, ka waiho nga wharangi kohanga kaore he pane haumaru [S2].
  • Whakaahua Korero: Ma te taunoa, ka whakaurua pea e Next.js te pane X-Powered-By, e whakaatu ana i te putanga anga ki te kore e tino monokia ma te whirihoranga poweredByHeader ZXCVIFIXZVIBECTOK.
  • CORS Hapa whirihoranga: Ka taea e nga pane Access-Control-Allow-Origin te tautuhi tika i roto i te raupapa headers te tuku kore mana ki te uru ki nga raraunga tairongo ZXCVFIXXVIBETOKEN2.

Whakatika Raima

  • Tauira Ara Arotake: Me whakarite nga tauira source katoa i next.config.js ka whakamahi i nga kaari mohoao e tika ana (hei tauira, /:path*) ki te tono pane puta noa i te waa e tika ana ZXCVFIXVICETOKEN3Z
  • Whakakorea te Mahinga Maihao: Tautuhia te poweredByHeader: false ki te next.config.js kia kore ai e tukuna te pane [S2] ki te [S2].
  • Whakawhāitihia te CORS: Tautuhia te Access-Control-Allow-Origin ki nga rohe whirinaki motuhake kaua ki nga kaari mohoao i te whirihoranga headers [S2].

Me pehea te whakamatautau a FixVibe

Ka taea e FixVibe te mahi tirotiro kuaha kaha ma te ngoki i te tono me te whakatairite i nga pane haumaru o nga momo huarahi. Ma te wetewete i te pane X-Powered-By me te riterite o te Content-Security-Policy puta noa i nga hohonutanga o nga huarahi rereke, ka taea e FixVibe te tautuhi i nga waahi whirihoranga i next.config.js.