FixVibe
Covered by FixVibemedium

ප්‍රමාණවත් නොවන ආරක්ෂක ශීර්ෂ වින්‍යාසය

වෙබ් යෙදුම් බොහෝ විට අත්‍යවශ්‍ය ආරක්‍ෂක ශීර්ෂ ක්‍රියාත්මක කිරීමට අසමත් වන අතර, පරිශීලකයන් හරස්-අඩවි ස්ක්‍රිප්ටින් (XSS), ක්ලික් ජැක් කිරීම සහ දත්ත එන්නත් කිරීමට නිරාවරණය වේ. ස්ථාපිත වෙබ් ආරක්ෂණ මාර්ගෝපදේශ අනුගමනය කිරීමෙන් සහ MDN නිරීක්ෂණාගාරය වැනි විගණන මෙවලම් භාවිතා කිරීමෙන්, සංවර්ධකයින්ට පොදු බ්‍රවුසරය මත පදනම් වූ ප්‍රහාරවලට එරෙහිව ඔවුන්ගේ යෙදුම් සැලකිය යුතු ලෙස දැඩි කළ හැකිය.

CWE-693

බලපෑම

ආරක්‍ෂක ශීර්ෂ නොමැති වීම ප්‍රහාරකයන්ට ක්ලික් ජැක් කිරීම, සැසි කුකීස් සොරකම් කිරීම හෝ හරස් අඩවි ස්ක්‍රිප්ටින් (XSS) [S1] ක්‍රියාත්මක කිරීමට ඉඩ සලසයි. මෙම උපදෙස් නොමැතිව, බ්‍රවුසරවලට ආරක්‍ෂක සීමාවන් බලාත්මක කළ නොහැක, විභව දත්ත මුදවාගැනීම් සහ අනවසර පරිශීලක ක්‍රියා [S2] වෙත යොමු කරයි.

මූල හේතුව

සම්මත HTTP ආරක්ෂක ශීර්ෂ ඇතුළත් කිරීමට වෙබ් සේවාදායකයන් හෝ යෙදුම් රාමු වින්‍යාස කිරීමට අසමත් වීම නිසා ගැටළුව පැන නගී. සංවර්ධනය බොහෝ විට ක්‍රියාකාරී HTML සහ CSS [S1] සඳහා ප්‍රමුඛත්වය දෙන අතර, ආරක්‍ෂක වින්‍යාසයන් නිතර මග හැරේ. MDN නිරීක්ෂණාගාරය වැනි විගණන මෙවලම් නිර්මාණය කර ඇත්තේ මෙම අතුරුදහන් වූ ආරක්ෂක ස්ථර හඳුනා ගැනීමට සහ බ්‍රවුසරය සහ සේවාදායකය අතර අන්තර්ක්‍රියා සුරක්ෂිත බව සහතික කිරීමට [S2] වේ.

තාක්ෂණික විස්තර

ආරක්‍ෂක ශීර්ෂ බ්‍රවුසරයට පොදු අවදානම් අවම කිරීම සඳහා නිශ්චිත ආරක්‍ෂක විධානයන් සපයයි:

  • අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්තිය (CSP): අනවසර ස්ක්‍රිප්ට් ක්‍රියාත්මක කිරීම සහ දත්ත එන්නත් කිරීම වළක්වමින් කුමන සම්පත් පූරණය කළ හැකිද යන්න පාලනය කරයි.
  • Strict-Transport-Security (HSTS): Ensures the browser only communicates over secure HTTPS connections [S2].
  • X-රාමු-විකල්ප: [S1] ක්ලික් ජැක් කිරීමට එරෙහිව මූලික ආරක්ෂාවක් වන, iframe එකක යෙදුම විදැහුම්කරණය වීම වළක්වයි.
  • X-අන්තර්ගත-වර්ගය-විකල්ප: MIME-sniffing ප්‍රහාර [S2] නවත්වන, නිශ්චිතව දක්වා ඇති දේට වඩා වෙනස් MIME වර්ගයක් ලෙස ගොනු අර්ථකථනය කිරීමෙන් බ්‍රවුසරය වළක්වයි.

FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය

FixVibe වෙබ් යෙදුමක HTTP ප්‍රතිචාර ශීර්ෂ විශ්ලේෂණය කිරීමෙන් මෙය හඳුනාගත හැක. MDN නිරීක්ෂණාගාර ප්‍රමිතීන්ට එරෙහිව ප්‍රතිඵල මිණුම් සලකුණු කිරීමෙන් [S2], FixVibe හට CSP, CSP, ZXCVFIXVIBETOKEN,- Xpt-FramOpt-FramOpt-Frame වැනි නැතිවූ හෝ වැරදි ලෙස වින්‍යාස කර ඇති ශීර්ෂයන් සලකුණු කළ හැක.

නිවැරදි කරන්න

සම්මත ආරක්‍ෂක ඉරියව්වක [S1] කොටසක් ලෙස සියලුම ප්‍රතිචාරවල පහත ශීර්ෂ ඇතුළත් කිරීමට වෙබ් සේවාදායකය (උදා., Nginx, Apache) හෝ යෙදුම් මිඩ්ල්වෙයාර් යාවත්කාලීන කරන්න:

  • අන්තර්ගත-ආරක්ෂක-ප්‍රතිපත්ති: සම්පත් මූලාශ්‍ර විශ්වාසදායක වසම්වලට සීමා කරන්න.
  • දැඩි-ප්‍රවාහන-ආරක්ෂාව: දිගු max-age සමඟින් HTTPS බලාත්මක කරන්න.
  • X-අන්තර්ගත-වර්ගය-විකල්ප: nosniff [S2] ලෙස සකසන්න.
  • X-රාමු-විකල්ප: ක්ලික් ජැක් කිරීම වැළැක්වීමට DENY හෝ SAMEORIGIN ලෙස සකසන්න.