प्रभाव
सुरक्षा शीर्षलेखांची अनुपस्थिती आक्रमणकर्त्यांना क्लिकजॅकिंग करण्यास, सत्र कुकीज चोरण्यास किंवा क्रॉस-साइट स्क्रिप्टिंग (XSS) [S1] कार्यान्वित करण्यास अनुमती देते. या सूचनांशिवाय, ब्राउझर सुरक्षितता सीमा लागू करू शकत नाहीत, ज्यामुळे संभाव्य डेटा एक्सफिल्टेशन आणि अनधिकृत वापरकर्ता क्रिया [S2] होऊ शकतात.
मूळ कारण
मानक HTTP सुरक्षा शीर्षलेख समाविष्ट करण्यासाठी वेब सर्व्हर किंवा अनुप्रयोग फ्रेमवर्क कॉन्फिगर करण्यात अयशस्वी झाल्यामुळे समस्या उद्भवली आहे. विकास अनेकदा फंक्शनल HTML आणि CSS [S1] ला प्राधान्य देत असताना, सुरक्षा कॉन्फिगरेशन वारंवार वगळले जातात. MDN वेधशाळा सारखी ऑडिटिंग साधने हे गहाळ बचावात्मक स्तर शोधण्यासाठी आणि ब्राउझर आणि सर्व्हरमधील परस्परसंवाद सुरक्षित [S2] आहे याची खात्री करण्यासाठी डिझाइन केलेले आहेत.
तांत्रिक तपशील
सुरक्षा शीर्षलेख सामान्य भेद्यता कमी करण्यासाठी ब्राउझरला विशिष्ट सुरक्षा निर्देश प्रदान करतात:
- सामग्री सुरक्षा धोरण (CSP): अनधिकृत स्क्रिप्ट अंमलबजावणी आणि डेटा इंजेक्शन [S1] प्रतिबंधित करून, कोणती संसाधने लोड केली जाऊ शकतात हे नियंत्रित करते.
- कठोर-वाहतूक-सुरक्षा (HSTS): ब्राउझर केवळ सुरक्षित HTTPS कनेक्शन [S2] वर संप्रेषण करते याची खात्री करते.
- X-फ्रेम-पर्याय: अनुप्रयोगाला iframe मध्ये प्रस्तुत होण्यापासून प्रतिबंधित करते, जे [S1] क्लिकजॅकिंगपासून प्राथमिक संरक्षण आहे.
- X-सामग्री-प्रकार-पर्याय: MIME-स्निफिंग अटॅक [S2] थांबवून, निर्दिष्ट केलेल्यापेक्षा भिन्न MIME प्रकार म्हणून फायलींचा अर्थ लावण्यापासून ब्राउझरला प्रतिबंधित करते.
त्यासाठी FixVibe चाचण्या कशा करतात
FixVibe वेब अनुप्रयोगाच्या HTTP प्रतिसाद शीर्षलेखांचे विश्लेषण करून हे शोधू शकते. [S2], CSP, CSP, [S2], [S2], [S2], FixVibe गहाळ किंवा चुकीचे कॉन्फिगर केलेले शीर्षलेख ध्वजांकित करू शकतात.
दुरुस्त करा
[S1] मानक सुरक्षा स्थितीचा भाग म्हणून सर्व प्रतिसादांमध्ये खालील शीर्षलेख समाविष्ट करण्यासाठी वेब सर्व्हर (उदा. Nginx, Apache) किंवा अनुप्रयोग मिडलवेअर अद्यतनित करा:
- सामग्री-सुरक्षा-धोरण: विश्वसनीय डोमेनसाठी संसाधन स्रोत प्रतिबंधित करा.
- कठोर-वाहतूक-सुरक्षा: लांब
max-ageसह HTTPS लागू करा. - X-सामग्री-प्रकार-पर्याय:
nosniff[S2] वर सेट करा. - X-फ्रेम-पर्याय:
DENYकिंवाSAMEORIGINक्लिकजॅकिंग टाळण्यासाठी [S1] वर सेट करा.