FixVibe
Covered by FixVibemedium

د امنیت سرلیک ناکافي ترتیب

ویب غوښتنلیکونه ډیری وختونه د اړین امنیتي سرلیکونو پلي کولو کې پاتې راځي، کاروونکي د کراس سایټ سکریپټینګ (XSS)، کلیک جیک کولو، او ډیټا انجیکشن سره مخ کیږي. د تاسیس شوي ویب امنیت لارښودونو په تعقیب او د MDN څارونکي په څیر د پلټنې وسیلو کارولو سره ، پراختیا کونکي کولی شي د عام براوزر میشته بریدونو پروړاندې خپل غوښتنلیکونه د پام وړ سخت کړي.

CWE-693

اغیزې

د امنیتي سرلیکونو نشتوالی برید کونکو ته اجازه ورکوي چې کلیک جیک ترسره کړي، د سیشن کوکیز غلا کړي، یا د کراس سایټ سکریپټینګ اجرا کړي (XSS) [S1]. د دې لارښوونو پرته، براوزر نشي کولی امنیتي حدود پلي کړي، چې د احتمالي معلوماتو افشا کولو او د کارونکي غیر مجاز عمل [S2] لامل کیږي.

اصلي لامل

مسله د معیاري HTTP امنیت سرلیکونو شاملولو لپاره د ویب سرورونو یا غوښتنلیک چوکاټونو تنظیم کولو کې د ناکامۍ څخه رامینځته کیږي. پداسې حال کې چې پراختیا اکثرا فعال HTML او CSS [S1] ته لومړیتوب ورکوي، امنیتي تشکیلات په مکرر ډول پریښودل کیږي. د پلټنې وسیلې لکه MDN څارونکي د دې ورک شوي دفاعي پرتونو موندلو لپاره ډیزاین شوي او ډاډ ترلاسه کوي چې د براوزر او سرور ترمینځ متقابل عمل خوندي [S2] دی.

تخنیکي توضیحات

د امنیت سرلیکونه براوزر ته ځانګړي امنیتي لارښوونې چمتو کوي ترڅو د عام زیانونو کمولو لپاره:

  • د مینځپانګې امنیت پالیسي (CSP): کنټرولوي چې کومې سرچینې بار کیدی شي ، د غیر مجاز سکریپټ اجرا کولو او ډیټا انجیکشن [S1] مخه نیسي.
  • سخت ترانسپورت-امنیت (HSTS): ډاډ ورکوي چې براوزر یوازې د خوندي HTTPS اتصالاتو [S2] سره اړیکه نیسي.
  • X-Frame-options: د غوښتنلیک مخه نیسي په iframe کې وړاندې کیږي، کوم چې د [S1] کلیک جیک کولو په وړاندې لومړنی دفاع ده.
  • X-Content-Type-options: براوزر د هغه څه په پرتله چې ټاکل شوي د مختلف MIME ډول په توګه د فایلونو تشریح کولو مخه نیسي، د MIME-sniffing بریدونو مخه نیسي [S2].

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe کولی شي دا د ویب غوښتنلیک د HTTP ځواب سرلیکونو تحلیل کولو سره کشف کړي. [S2]، FixVibe کولی شي د MDN څارونکي معیارونو سره سم د پایلو په نښه کولو سره د ورک شوي یا غلط ترتیب شوي سرلیکونه لکه CSP، ZXCVFIXVIBETOKEN4-ZXFCV، XXCVFIXVIBETOKEN2ZXCV بیرغ وکړي.

اصلاح

د ویب سرور تازه کړئ (د بیلګې په توګه، نګینکس، اپاچی) یا د اپلیکیشن منځنی وییر د معیاري امنیتي پوستې [S1] برخې په توګه په ټولو ځوابونو کې لاندې سرلیکونه شامل کړئ:

  • **د منځپانګې-امنیت-پالیسی*: د سرچینو سرچینې په باوري ډومینونو کې محدود کړئ.
  • سخت-ترانسپورت-امنیت: د اوږد max-age سره HTTPS تطبیق کړئ.
  • X-د منځپانګې ډول-اختیارونه: nosniff [S2] ته ټاکل شوی.
  • X-Frame-options: DENY یا SAMEORIGIN ته وټاکئ ترڅو د [S1] کلیک جیک کولو مخه ونیسي.