FixVibe
Covered by FixVibemedium

Ulutala Saogalemu HTTP: Fa'atinoina le CSP ma le HSTS mo le Puipuiga o le Itulau.

O lenei su'esu'ega o lo'o su'esu'eina ai le taua tele o fa'auluuluga o le puipuiga a le HTTP, fa'apitoa le Faiga Fa'avae Puipuiga (CSP) ma le HTTP Strict Transport Security (HSTS), i le puipuia o 'upega tafaʻilagi mai faʻafitauli masani e pei ole Cross-Site Scripting (ZXCVFIXXVICTOKEN) ma00.

CWE-1021CWE-79CWE-319

Le Matafaioi a Ulutala Saogalemu

O ulutala saogalemu HTTP e maua ai se faiga fa'apitoa mo talosaga i luga ole laiga e fa'atonu ai tagata su'esu'e e fa'amalosia faiga fa'avae mo le puipuiga i le taimi o se sauniga [S1] [S2]. O nei ulutala e galue o se vaega taua o le puipuiga-i-le-loloto, faʻaitiitia faʻalavelave atonu e le mafai ona faʻatalanoaina atoatoa e le faʻaogaina o manatu naʻo.

Faiga Fa'avae Saogalemu (CSP)

Faiga Fa'avae Saogalemu (CSP) ose puipuiga malu lea e fesoasoani e iloa ma faʻaitiitia nisi ituaiga o osofaʻiga, e aofia ai le Cross-Site Scripting (XSS) ma faʻamatalaga tui osofaʻiga [S1]. E ala i le fa'amalamalamaina o se faiga fa'avae e fa'amaoti mai ai po'o fea punaoa malosi e fa'atagaina e utaina, CSP e taofia ai le su'esu'e mai le fa'atinoina o tusitusiga leaga na tui e se tagata osofa'i [S1]. Ole mea lea e fa'atapula'aina ai le fa'atinoina o le tulafono fa'alilolilo e tusa lava pe iai se fa'aletonu ole tui ile talosaga.

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) o se masini e mafai ai e se upega tafaʻilagi ona logoina tagata suʻesuʻe e tatau ona naʻo le faʻaogaina o le HTTPS, nai lo le HTTP [S2]. O lea e puipuia ai mai osofa'iga fa'alaloina fa'akomepiuta ma faoa kuki e ala i le fa'amautinoaina o feso'ota'iga uma i le va o le kalani ma le server o lo'o fa'ailogaina [S2]. O le taimi lava e maua ai e le su'esu'e lenei ulutala, o le a otometi lava ona fa'aliliu uma taumafaiga mulimuli e fa'aoga le saite e ala i HTTP i talosaga HTTPS.

Aafiaga Puipuiga o Ulutala misi

O talosaga e le mafai ona fa'atinoina nei fa'auluuluga e matua'i maualuga atu le lamatiaga o le fetuutuuna'i o tagata o tausia. O le leai o se Faiga Fa'avae Saogalemu e fa'atagaina ai le fa'atinoina o fa'amaumauga e le'i fa'atagaina, e mafai ona ta'ita'iina ai le fa'agaoioiga o le sauniga, fa'ate'aina fa'amatalaga e le'i fa'atagaina, po'o le fa'aleagaina o le [S1]. E faʻapea foʻi, o le leai o se ulutala HSTS e mafai ai e tagata faʻaoga ona aʻafia i osofaʻiga a le tagata-i-le-ogatotonu (MITM), aemaise lava i le taimi muamua o fesoʻotaʻiga, lea e mafai ai e le osofaʻiga ona faʻalavelaveina feoaiga ma toe faʻafeiloaʻi le tagata faʻaoga i se faʻailoga leaga poʻo le le faʻailogaina o le saite [S2].

Fa'afefea ona su'e le FixVibe

FixVibe ua uma ona aofia ai lenei mea e fai ma siaki su'esu'e. headers.security-headers suʻesuʻeina metadata tali HTTP lautele mo le i ai ma le malosi o le Content-Security-Policy, Strict-Transport-Security, X-Frame-Options poʻo le frame-ancestorsIX, frame-ancestors5, ZXCVFIXVIBETOKEN Referrer-Policy, ma Permissions-Policy. E lipotia ai le misi pe vaivai tau e aunoa ma le faʻaogaina o suʻesuʻega, ma o lona faʻatonuga e tuʻuina atu ai faʻataʻitaʻiga ulutala faʻapipiʻi mo faʻaoga masani ma seti CDN.

Ta'iala mo le Fa'afouga

Ina ia faʻaleleia le tulaga saogalemu, e tatau ona faʻapipiʻi 'upega tafaʻilagi e toe faʻafoʻi ai ulutala i luga o auala uma o gaosiga. O se CSP malosi e tatau ona fa'afetaui i le mana'omia o punaoa fa'apitoa a le talosaga, e fa'aoga ai fa'atonuga e pei o le script-src ma le object-src e fa'atapula'a ai si'osi'omaga o le fa'atinoina o tusitusiga [S1]. Mo le saogalemu o felauaiga, o le ulutala Strict-Transport-Security e tatau ona faʻaogaina i se faʻatonuga talafeagai max-age e faʻamautinoa ai le puipuiga faifai pea i taimi uma o tagata faʻaoga [S2].