FixVibe
Covered by FixVibehigh

د Next.js + Supabase خوندي کول: د قطار کچې امنیت مخنیوی (RLS) بای پاس

د Next.js او Supabase سره جوړ شوي غوښتنلیکونه ډیری وختونه د معلوماتو خوندي کولو لپاره د قطار کچې امنیت (RLS) باندې تکیه کوي. د RLS فعالولو کې پاتې راتلل یا د Supabase پیرودونکي غلط تنظیم کول کولی شي د بشپړ ډیټابیس افشا کیدو لامل شي ، غیر مجاز کاروونکو ته اجازه ورکوي چې حساس ریکارډونه لوستل یا بدل کړي.

CWE-284

اغیزې

برید کونکي کولی شي په ډیټابیس کې د ریکارډونو لوستلو ، تازه کولو یا حذف کولو لپاره د غوښتنلیک منطق پریږدي که چیرې د قطار کچې امنیت (RLS) په سمه توګه پلي نشي [S1]. دا ډیری وختونه د شخصي پیژندلو وړ معلوماتو (PII) یا حساس غوښتنلیک ډیټا کاروونکو ته د افشا کیدو لامل کیږي څوک چې یوازې عامه نامعلوم API کیلي ته لاسرسی لري.

اصلي لامل

Supabase د ډیټابیس په کچه ډیټا لاسرسي اداره کولو لپاره د پوسټګریس قطار کچې امنیت کاروي ، کوم چې د [S1] ډیټا خوندي کولو لپاره بنسټیز دی. په Next.js چاپیریال کې، پراختیا کونکي باید د Supabase پیرودونکی رامینځته کړي چې په سمه توګه کوکیز او سیشنونه اداره کوي ترڅو د [S2] سرور اړخ وړاندې کولو پرمهال امنیت وساتي. زیانمنتیاوې معمولا رامینځته کیږي کله چې:

  • میزونه پرته له دې چې د RLS فعال شوي جوړ شوي، دوی د عامه انون کیلي [S1] له لارې د لاسرسي وړ کوي.
  • د Supabase پیرودونکی په Next.js کې غلط ترتیب شوی، د [S2] ډیټابیس ته د کارونکي تصدیق کولو ټیکونو په سمه توګه لیږدولو کې پاتې راغلی.
  • پرمخ وړونکي په ناڅاپي ډول د پیرودونکي اړخ کوډ کې د service_role کیلي کاروي، کوم چې د RLS ټولې پالیسۍ [S1] څخه تیریږي.

کانکریټ اصلاحات

RLS فعال کړئ: ډاډ ترلاسه کړئ چې ستاسو د Supabase ډیټابیس [S1] کې د هر میز لپاره د قطار کچې امنیت فعال شوی.

  • پالیسي تعریف کړئ: د SELECT، INSERT، UPDATE، او DELETE عملیاتونو لپاره ځانګړي پوسټګریس پالیسي رامینځته کړئ ترڅو د کارونکي لاسرسي محدود کړي. [S1].

د SSR مراجعینو څخه کار واخلئ: د @supabase/ssr بسته پلي کړئ ترڅو په Next.js کې پیرودونکي رامینځته کړي چې په سمه توګه د سرور اړخ تصدیق او سیشن دوام [S2] اداره کوي.

څنګه FixVibe د دې لپاره ازموینه کوي

FixVibe دا دمخه د ګمارل شوي ایپ او ریپو چیکونو له لارې پوښي. غیر فعال baas.supabase-rls ماډل Supabase یو آر ایل او د ورته اصلي جاواسکریپټ بنډلونو څخه انون کلیدي جوړه کشف کوي ، د عامه میز میټاډاټا لپاره PostgREST غوښتنه کوي ، او د پیرودونکي ډیټا څرګندولو پرته د نامعلوم ډیټا افشا کولو تصدیق کولو لپاره محدود لوستل یوازې انتخابونه ترسره کوي. د ریپو سکینونه repo.supabase.missing-rls هم چلوي ترڅو د SQL مهاجرت بیرغ وکړي چې د ENABLE ROW LEVEL SECURITY پرته عامه میزونه رامینځته کوي، او پټ سکینونه براوزر ته د رسیدو دمخه د خدماتو رول کلیدي توضیحات ګوري.