FixVibe
Covered by FixVibemedium

| ପର୍ଯ୍ୟାପ୍ତ ସୁରକ୍ଷା ହେଡର୍ ବିନ୍ୟାସକରଣ |

| ZXCVFIXVIBESEG2 | ୱେବ୍ ପ୍ରୟୋଗଗୁଡ଼ିକ ପ୍ରାୟତ essential ଅତ୍ୟାବଶ୍ୟକ ସୁରକ୍ଷା ହେଡର୍ କାର୍ଯ୍ୟକାରୀ କରିବାରେ ବିଫଳ ହୁଅନ୍ତି, ବ୍ୟବହାରକାରୀଙ୍କୁ କ୍ରସ୍ ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS), କ୍ଲିକ୍ ଜ୍ୟାକିଂ, ଏବଂ ଡାଟା ଇଞ୍ଜେକ୍ସନ୍ ଛାଡିଦିଅନ୍ତି | ପ୍ରତିଷ୍ଠିତ ୱେବ୍ ସୁରକ୍ଷା ନିର୍ଦ୍ଦେଶାବଳୀ ଅନୁସରଣ କରି ଏବଂ MDN ଅବଜରଭେଟୋରୀ ପରି ଅଡିଟ୍ ଉପକରଣ ବ୍ୟବହାର କରି, ଡେଭଲପର୍ମାନେ ସାଧାରଣ ବ୍ରାଉଜର୍-ଆଧାରିତ ଆକ୍ରମଣ ବିରୁଦ୍ଧରେ ସେମାନଙ୍କର ପ୍ରୟୋଗକୁ ଯଥେଷ୍ଟ କଠିନ କରିପାରିବେ |

CWE-693

| ZXCVFIXVIBESEG3 |

ପ୍ରଭାବ

| ZXCVFIXVIBESEG4 | ସୁରକ୍ଷା ହେଡରର ଅନୁପସ୍ଥିତି ଆକ୍ରମଣକାରୀଙ୍କୁ କ୍ଲିକ୍ ଜ୍ୟାକିଂ, ଅଧିବେଶନ କୁକିଜ୍ ଚୋରି କରିବାକୁ କିମ୍ବା କ୍ରସ୍ ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS) [S1] କରିବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏହି ନିର୍ଦ୍ଦେଶନାମା ବିନା, ବ୍ରାଉଜର୍ ସୁରକ୍ଷା ସୀମାକୁ ବାଧ୍ୟତାମୂଳକ କରିପାରିବ ନାହିଁ, ଯାହା ସମ୍ଭାବ୍ୟ ତଥ୍ୟ ବହିଷ୍କାର ଏବଂ ଅନଧିକୃତ ଉପଭୋକ୍ତା କାର୍ଯ୍ୟ [S2] କୁ ନେଇଥାଏ |

| ZXCVFIXVIBESEG5 |

ମୂଳ କାରଣ |

| ZXCVFIXVIBESEG6 | ଷ୍ଟାଣ୍ଡାର୍ଡ HTTP ସୁରକ୍ଷା ହେଡର୍ ଅନ୍ତର୍ଭୂକ୍ତ କରିବା ପାଇଁ ୱେବ୍ ସର୍ଭର କିମ୍ବା ପ୍ରୟୋଗ framework ାଞ୍ଚାଗୁଡ଼ିକୁ ବିନ୍ୟାସ କରିବାରେ ବିଫଳତା ଠାରୁ ଏହି ସମସ୍ୟାଟି ଘଟିଥାଏ | ଯେତେବେଳେ ବିକାଶ ପ୍ରାୟତ function କାର୍ଯ୍ୟକ୍ଷମ HTML ଏବଂ CSS [S1] କୁ ପ୍ରାଥମିକତା ଦେଇଥାଏ, ସୁରକ୍ଷା ବିନ୍ୟାସଗୁଡିକ ବାରମ୍ବାର ବାଦ ଦିଆଯାଏ | MDN ଅବଜରଭେଟୋରୀ ପରି ଅଡିଟ୍ ଉପକରଣଗୁଡ଼ିକ ଏହି ନିଖୋଜ ପ୍ରତିରକ୍ଷା ସ୍ତରଗୁଡ଼ିକୁ ଚିହ୍ନଟ କରିବା ପାଇଁ ଏବଂ ବ୍ରାଉଜର୍ ଏବଂ ସର୍ଭର ମଧ୍ୟରେ ପାରସ୍ପରିକ କ୍ରିୟା ସୁରକ୍ଷିତ [S2] ନିଶ୍ଚିତ କରିବାକୁ ଡିଜାଇନ୍ କରାଯାଇଛି |

| ZXCVFIXVIBESEG7 |

ଯାନ୍ତ୍ରିକ ବିବରଣୀ |

| ZXCVFIXVIBESEG8 | ସାଧାରଣ ଦୁର୍ବଳତାକୁ ହ୍ରାସ କରିବା ପାଇଁ ସୁରକ୍ଷା ହେଡର୍ ବ୍ରାଉଜରକୁ ନିର୍ଦ୍ଦିଷ୍ଟ ସୁରକ୍ଷା ନିର୍ଦ୍ଦେଶନାମା ପ୍ରଦାନ କରିଥାଏ: | ZXCVFIXVIBESEG9 |

  • ବିଷୟବସ୍ତୁ ସୁରକ୍ଷା ନୀତି (CSP): କେଉଁ ଉତ୍ସଗୁଡିକ ଲୋଡ୍ ହୋଇପାରିବ ତାହା ନିୟନ୍ତ୍ରଣ କରିଥାଏ, ଅନଧିକୃତ ସ୍କ୍ରିପ୍ଟ ନିଷ୍ପାଦନ ଏବଂ ଡାଟା ଇଞ୍ଜେକ୍ସନ୍ [S1] |

| ZXCVFIXVIBESEG10

  • କଠୋର-ପରିବହନ-ସୁରକ୍ଷା (HSTS): ନିଶ୍ଚିତ କରେ ଯେ ବ୍ରାଉଜର୍ କେବଳ ସୁରକ୍ଷିତ HTTPS ସଂଯୋଗ [S2] ଉପରେ ଯୋଗାଯୋଗ କରେ |

| ZXCVFIXVIBESEG11

  • X- ଫ୍ରେମ୍-ବିକଳ୍ପସମୂହ: ପ୍ରୟୋଗକୁ ଏକ ଇଫ୍ରେମରେ ଉପସ୍ଥାପିତ କରିବାକୁ ବାରଣ କରିଥାଏ, ଯାହାକି [S1] କ୍ଲିକ୍ କରିବା ବିରୁଦ୍ଧରେ ଏକ ପ୍ରାଥମିକ ପ୍ରତିରକ୍ଷା |

| ZXCVFIXVIBESEG12

  • X- ବିଷୟବସ୍ତୁ-ପ୍ରକାର-ବିକଳ୍ପଗୁଡ଼ିକ: ବ୍ରାଉଜରକୁ ଫାଇଲଗୁଡ଼ିକୁ ନିର୍ଦ୍ଦିଷ୍ଟ MIME ପ୍ରକାର ଭାବରେ ବ୍ୟାଖ୍ୟା କରିବାକୁ ବାରଣ କରିଥାଏ, MIME- ସ୍ନିଫିଙ୍ଗ ଆକ୍ରମଣକୁ ବନ୍ଦ କରି [S2] |

| ZXCVFIXVIBESEG13 |

ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |

| ZXCVFIXVIBESEG14 FixVibe ଏକ ୱେବ୍ ପ୍ରୟୋଗର HTTP ପ୍ରତିକ୍ରିୟା ହେଡର୍ ବିଶ୍ଳେଷଣ କରି ଏହାକୁ ଚିହ୍ନଟ କରିପାରେ | MDN ପର୍ଯ୍ୟବେକ୍ଷଣକାରୀ ମାନକ [S2], FixVibe ବିପକ୍ଷରେ ଫଳାଫଳକୁ ବେଞ୍ଚମାର୍କିଂ କରି CSP, ZXCVFIXVIBETOKEN4ZX

| ZXCVFIXVIBESEG15

ଠିକ କରନ୍ତୁ |

| ZXCVFIXVIBESEG16 | ୱେବ୍ ସର୍ଭରକୁ ଅଦ୍ୟତନ କରନ୍ତୁ (ଯଥା, Nginx, Apache) କିମ୍ବା ପ୍ରୟୋଗ ମଧ୍ୟମ ସଫ୍ଟୱେୟାରକୁ ସମସ୍ତ ପ୍ରତିକ୍ରିୟାରେ ନିମ୍ନଲିଖିତ ହେଡର୍ଗୁଡ଼ିକୁ ଏକ ମାନକ ସୁରକ୍ଷା ସ୍ଥିତିର ଅଂଶ ଭାବରେ [S1]: | ZXCVFIXVIBESEG17 1। ବିଷୟବସ୍ତୁ-ସୁରକ୍ଷା-ନୀତି : ଉତ୍ସ ଉତ୍ସଗୁଡ଼ିକୁ ବିଶ୍ୱସ୍ତ ଡୋମେନରେ ସୀମିତ କରନ୍ତୁ | | ZXCVFIXVIBESEG18 2। କଠୋର-ପରିବହନ-ସୁରକ୍ଷା : ଏକ ଲମ୍ବା max-age ସହିତ HTTPS କୁ ବାଧ୍ୟତାମୂଳକ କର | | ZXCVFIXVIBESEG19 | 3। X- ବିଷୟବସ୍ତୁ-ପ୍ରକାର-ବିକଳ୍ପ : nosniff [S2] କୁ ସେଟ୍ କରନ୍ତୁ | | ZXCVFIXVIBESEG20 ।।