ਪ੍ਰਭਾਵ
ਜ਼ਰੂਰੀ HTTP ਸੁਰੱਖਿਆ ਸਿਰਲੇਖਾਂ ਦੀ ਅਣਹੋਂਦ ਕਲਾਇੰਟ-ਸਾਈਡ ਕਮਜ਼ੋਰੀਆਂ [S1] ਦੇ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ। ਇਹਨਾਂ ਸੁਰੱਖਿਆਵਾਂ ਤੋਂ ਬਿਨਾਂ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਕ੍ਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS) ਅਤੇ ਕਲਿੱਕਜੈਕਿੰਗ ਵਰਗੇ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹੋ ਸਕਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਅਣਅਧਿਕਾਰਤ ਕਾਰਵਾਈਆਂ ਜਾਂ ਡੇਟਾ ਐਕਸਪੋਜ਼ਰ [S1] ਹੋ ਸਕਦਾ ਹੈ। ਗਲਤ ਸੰਰਚਨਾ ਕੀਤੇ ਸਿਰਲੇਖ ਟਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਹੋ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਡੇਟਾ [S1] ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
AI-ਤਿਆਰ ਕੀਤੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਕਸਰ ਸੁਰੱਖਿਆ ਸੰਰਚਨਾ ਨਾਲੋਂ ਫੰਕਸ਼ਨਲ ਕੋਡ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੀਆਂ ਹਨ, ਅਕਸਰ ਤਿਆਰ ਕੀਤੇ ਬਾਇਲਰਪਲੇਟ [S1] ਵਿੱਚ ਗੰਭੀਰ HTTP ਸਿਰਲੇਖਾਂ ਨੂੰ ਛੱਡ ਦਿੰਦੇ ਹਨ। ਇਸਦਾ ਨਤੀਜਾ ਉਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਹੁੰਦਾ ਹੈ ਜੋ ਆਧੁਨਿਕ ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪੂਰਾ ਨਹੀਂ ਕਰਦੇ ਜਾਂ ਵੈੱਬ ਸੁਰੱਖਿਆ ਲਈ ਸਥਾਪਤ ਵਧੀਆ ਅਭਿਆਸਾਂ ਦੀ ਪਾਲਣਾ ਨਹੀਂ ਕਰਦੇ, ਜਿਵੇਂ ਕਿ ਮੋਜ਼ੀਲਾ HTTP ਆਬਜ਼ਰਵੇਟਰੀ [S1] ਵਰਗੇ ਵਿਸ਼ਲੇਸ਼ਣ ਸਾਧਨਾਂ ਦੁਆਰਾ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਕੰਕਰੀਟ ਫਿਕਸ
ਸੁਰੱਖਿਆ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਮਿਆਰੀ ਸੁਰੱਖਿਆ ਸਿਰਲੇਖ [S1] ਵਾਪਸ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਸਰੋਤ ਲੋਡਿੰਗ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ ਲਈ ਇੱਕ ਸਮੱਗਰੀ-ਸੁਰੱਖਿਆ-ਨੀਤੀ (CSP) ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਸਖਤ-ਟਰਾਂਸਪੋਰਟ-ਸੁਰੱਖਿਆ (HSTS) ਦੁਆਰਾ HTTPS ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਅਤੇ ਫ੍ਰੇਮਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ X-ਫ੍ਰੇਮ-ਵਿਕਲਪਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। [S1]. ਡਿਵੈਲਪਰਾਂ ਨੂੰ MIME-ਕਿਸਮ ਦੀ ਸੁੰਘਣ ਵਾਲੀ [S1] ਨੂੰ ਰੋਕਣ ਲਈ X-ਸਮੱਗਰੀ-ਕਿਸਮ-ਵਿਕਲਪ ਨੂੰ 'nosniff' 'ਤੇ ਸੈੱਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਪਤਾ ਲਗਾਉਣਾ
ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਗੁੰਮ ਜਾਂ ਗਲਤ ਸੰਰਚਿਤ ਸੁਰੱਖਿਆ ਸੈਟਿੰਗਾਂ [S1] ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ HTTP ਜਵਾਬ ਸਿਰਲੇਖਾਂ ਦਾ ਪੈਸਿਵ ਮੁਲਾਂਕਣ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਉਦਯੋਗ-ਸਟੈਂਡਰਡ ਬੈਂਚਮਾਰਕਾਂ ਦੇ ਵਿਰੁੱਧ ਇਹਨਾਂ ਸਿਰਲੇਖਾਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਕੇ, ਜਿਵੇਂ ਕਿ ਮੋਜ਼ੀਲਾ HTTP ਆਬਜ਼ਰਵੇਟਰੀ ਦੁਆਰਾ ਵਰਤੇ ਗਏ, ਇਹ ਨਿਰਧਾਰਤ ਕਰਨਾ ਸੰਭਵ ਹੈ ਕਿ ਕੀ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਸੰਰਚਨਾ ਸੁਰੱਖਿਅਤ ਵੈੱਬ ਅਭਿਆਸਾਂ [S1] ਨਾਲ ਇਕਸਾਰ ਹੈ ਜਾਂ ਨਹੀਂ।