FixVibe
Covered by FixVibemedium

د HTTP امنیت سرلیکونه: د براوزر اړخ دفاع لپاره CSP او HSTS پلي کول

دا څیړنه د HTTP امنیت سرلیکونو مهم رول لټوي ، په ځانګړي توګه د مینځپانګې امنیت پالیسي (CSP) او د HTTP سخت ټرانسپورټ امنیت (HSTS) ، د عام زیانونو لکه د کراس سایټ سکریپټینګ (ZXVICVCVXDown) او د ZXcolbcvgrade څخه د ویب غوښتنلیکونو په ساتنه کې. بریدونه

CWE-1021CWE-79CWE-319

د امنیت د مشرانو رول

د HTTP امنیت سرلیکونه د ویب غوښتنلیکونو لپاره یو معیاري میکانیزم چمتو کوي ترڅو براوزر ته لارښوونه وکړي چې د یوې غونډې په جریان کې ځانګړي امنیتي پالیسۍ پلي کړي [S1] [S2]. دا سرلیکونه د دفاع په ژوره توګه د یوې مهمې طبقې په توګه عمل کوي، د خطرونو کمول چې ممکن یوازې د غوښتنلیک منطق لخوا په بشپړه توګه په نښه نشي.

د مینځپانګې امنیت پالیسي (CSP)

د منځپانګې امنیت پالیسي (CSP) یو امنیتي پرت دی چې د بریدونو ځینې ډولونه کشف او کمولو کې مرسته کوي، په شمول د کراس سایټ سکریپټینګ (XSS) او د معلوماتو انجیکشن بریدونه [S1]. د یوې پالیسۍ په ټاکلو سره چې مشخص کوي چې کوم متحرک سرچینې د بارولو اجازه لري، CSP براوزر د برید کونکي [S1] لخوا انجیکشن شوي ناوړه سکریپټونو اجرا کولو مخه نیسي. دا په مؤثره توګه د غیر مجاز کوډ اجرا کول محدودوي حتی که په غوښتنلیک کې د انجیکشن زیان منونکي شتون ولري.

HTTP سخت ټرانسپورټ امنیت (HSTS)

د HTTP سخت ټرانسپورټ امنیت (HSTS) یو میکانیزم دی چې ویب پاڼې ته اجازه ورکوي چې براوزر ته خبر ورکړي چې دا باید یوازې د HTTPS په کارولو سره لاسرسی ومومي، نه د HTTP [S2]. دا د پروتوکول ښکته کولو بریدونو او د کوکی د تښتولو په وړاندې د دې ډاډ ترلاسه کولو سره ساتنه کوي چې د پیرودونکي او سرور ترمنځ ټولې اړیکې [S2] کوډ شوي دي. یوځل چې براوزر دا سرلیک ترلاسه کړي ، نو دا به په اتوماتيک ډول د HTTP له لارې سایټ ته د لاسرسي ټولې هڅې د HTTPS غوښتنو ته واړوي.

د ورک شوي سرلیکونو امنیتي اغیزې

هغه غوښتنلیکونه چې د دې سرلیکونو پلي کولو کې پاتې راغلي د پیرودونکي اړخ جوړجاړی د پام وړ لوړ خطر کې دي. د محتوا د امنیت د پالیسۍ نشتوالی د غیر مجاز سکریپټونو اجرا کولو ته اجازه ورکوي، کوم چې کولی شي د سیشن هیجیک کولو، غیر مجاز معلوماتو افشا کولو، یا [S1] خراب کړي. په ورته ډول، د HSTS سرلیک نشتوالی کاروونکي پریږدي چې د مینځنۍ مینځنۍ (MITM) بریدونو لپاره حساس وي، په ځانګړې توګه د ابتدايي ارتباط مرحلې په جریان کې، چیرې چې برید کوونکی کولی شي ټرافیک مداخله وکړي او کاروونکي د ZXCVFIXVIBETOKEN1 ناوړه یا غیر کوډ شوي نسخې ته وګرځوي.

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe دمخه دا د غیر فعال سکین چیک په توګه شاملوي. headers.security-headers د Content-Security-Policy، Strict-Transport-Security، X-Frame-Options یا X-Frame-Options یا ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN, ZXCVFIXVIBETOKEN5, ZXCVFIXVIBETOKEN, ZXCVFIXVXBETOKEN, 4,00,000 شتون او ځواک لپاره د عامه HTTP ځواب میټاډاټا معاینه کوي. Referrer-Policy، او Permissions-Policy. دا د استخراج تحقیقاتو پرته د ورک یا ضعیف ارزښتونو راپور ورکوي، او د دې فکس پرامپټ د عام اپلیکیشن او CDN ترتیبونو لپاره د چمتو کولو سرلیک مثالونه وړاندې کوي.

د درملنې لارښود

د امنیت وضعیت ښه کولو لپاره، ویب سرورونه باید ترتیب شي ترڅو دا سرلیکونه په ټولو تولیدي لارو کې بیرته راولي. یو پیاوړی CSP باید د غوښتنلیک د ځانګړو سرچینو اړتیاو سره سم جوړ شي، د script-src او object-src په څیر لارښوونې په کارولو سره د سکریپټ اجرا کولو چاپیریال محدودولو لپاره ZXCVFIXVIBETOKEN4. د ټرانسپورټ امنیت لپاره، د Strict-Transport-Security سرلیک باید د مناسب max-age لارښود سره فعال شي ترڅو د کارونکي ناستې [S2] په اوږدو کې دوامداره محافظت ډاډمن کړي.