غير مناسب سيڪيورٽي هيڊر جي ترتيب

اثر

سيڪيورٽي هيڊرن جي غير موجودگي حملي آورن کي ڪلڪ جيڪنگ ڪرڻ، سيشن ڪوڪيز چوري ڪرڻ، يا ڪراس سائٽ اسڪرپٽنگ (XSS) [S1] تي عمل ڪرڻ جي اجازت ڏئي ٿي. انهن هدايتن کان سواءِ، برائوزر حفاظتي حدن کي لاڳو نٿا ڪري سگهن، جنهن جي ڪري امڪاني ڊيٽا خارج ڪرڻ ۽ غير مجاز صارف عمل [S2].

بنيادي سبب

مسئلو معياري HTTP سيڪيورٽي هيڊر شامل ڪرڻ لاءِ ويب سرورز يا ايپليڪيشن فريم ورڪ کي ترتيب ڏيڻ ۾ ناڪامي جو سبب بڻيل آهي. جڏهن ته ترقي اڪثر ڪري فنڪشنل HTML ۽ CSS [S1] کي ترجيح ڏئي ٿي، سيڪيورٽي ترتيبن کي اڪثر ڪري ڇڏيو ويو آهي. آڊيٽنگ ٽولز جهڙوڪ MDN آبزرويٽري انهن غائب دفاعي پرتن کي ڳولڻ ۽ برائوزر ۽ سرور جي وچ ۾ رابطي کي يقيني بڻائڻ لاءِ ٺاهيو ويو آهي [S2] محفوظ آهي.

ٽيڪنيڪل تفصيل

سيڪيورٽي هيڊرز برائوزر کي مخصوص حفاظتي هدايتون مهيا ڪن ٿيون ته جيئن عام ڪمزورين کي گھٽائي سگهجي:

• مواد جي حفاظت واري پاليسي (CSP): ڪنٽرول ڪري ٿو ڪهڙن وسيلن کي لوڊ ڪري سگهجي ٿو، غير مجاز اسڪرپٽ جي عمل کي روڪڻ ۽ ڊيٽا انجيڪشن [S1].
• سخت-ٽرانسپورٽ-سيڪيورٽي (HSTS): انهي ڳالهه کي يقيني بڻائي ٿو ته برائوزر صرف محفوظ HTTPS ڪنيڪشنز تي رابطو ڪري ٿو [S2].
• X-Frame-Options: ايپليڪيشن کي هڪ iframe ۾ پيش ٿيڻ کان روڪي ٿو، جيڪو [S1] تي ڪلڪ ڪرڻ جي خلاف بنيادي دفاع آهي.
• X-Content-Type-Options: براؤزر کي فائلن جي تشريح ڪرڻ کان روڪي ٿو مختلف MIME قسم جو بيان ڪيل آهي، MIME-sniffing حملن کي روڪي ٿو [S2].

ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو

FixVibe هن کي ڳولي سگهي ٿو ويب ايپليڪيشن جي HTTP جوابي هيڊرز جو تجزيو ڪندي. MDN آبزرويٽري معيارن جي خلاف نتيجن کي بينچ مارڪ ڪرڻ سان [S2]، FixVibe غائب يا غلط ترتيب ڏنل هيڊر جھڙوڪ CSP، ZXCVFIXVIBETOKEN4-ZXFCV، ۽ XXCVFIXVIBETOKEN4-ZXFCV،

درست ڪريو

ويب سرور کي تازه ڪاري ڪريو (مثال طور، نينڪس، اپاچي) يا ايپليڪيشن مڊل ويئر کي سڀني جوابن ۾ شامل ڪرڻ لاءِ هيٺين هيڊرز کي معياري سيڪيورٽي پوسٽر [S1] جي حصي جي طور تي:

• Content-Security-Policy: وسيلن جي ذريعن کي قابل اعتماد ڊومينز تائين محدود ڪريو.
• سخت-ٽرانسپورٽ-سيڪيورٽي: HTTPS کي ڊگھي max-age سان لاڳو ڪريو.
• X-Content-Type-Options: سيٽ ڪريو nosniff [S2].
• X-Frame-Options: DENY يا SAMEORIGIN تي سيٽ ڪريو [S1] کي ڪلڪ ڪرڻ کان روڪڻ لاءِ.