FixVibe
Covered by FixVibemedium

Le talafeagai le Fa'auluuluga Puipuiga

O talosaga i luga o le upega tafaʻilagi e masani ona le mafai ona faʻatinoina ulutala saogalemu, tuʻu ai tagata faʻaoga e faʻaalia i tusitusiga faʻasalalau (XSS), kiliki, ma tui faʻamaumauga. E ala i le mulimulitaia o taiala mo le saogalemu o le upega tafaʻilagi ma le faʻaaogaina o meafaigaluega suʻetusi e pei o le MDN Observatory, e mafai e tagata atiaʻe ona faʻamalosia a latou talosaga e faasaga i osofaʻiga masani e faʻavae i luga o suʻesuʻega.

CWE-693

Aafiaga

O le leai o ni ulutala saogalemu e mafai ai e tagata osofa'i ona fai le kiliki, gaoia kuki o sauniga, po'o le fa'atinoina o tusitusiga i luga ole laiga (XSS) [S1]. A aunoa ma nei faʻatonuga, e le mafai e tagata suʻesuʻe ona faʻamalosia tuaoi o le saogalemu, e oʻo atu ai i le faʻaogaina o faʻamatalaga faʻamatalaga ma gaioiga e le faʻatagaina e tagata faʻaoga [S2].

Mafua'aga

O le fa'afitauli e afua mai i le le mafaia ona fa'apipi'i 'upega tafa'ilagi po'o fa'atulagaga o talosaga e aofia ai fa'aulutala saogalemu HTTP. E ui ina fa'amuamua e le atina'e le HTML galue ma le CSS [S1], o fa'atonuga o le puipuiga e masani ona fa'ate'aina. O meafaigaluega su'etusi e pei o le MDN Observatory ua mamanuina e iloa ai nei mea o lo'o misi ma fa'amautinoa le saogalemu o fegalegaleaiga i le va o le browser ma le server [S2].

Fa'amatalaga Fa'apitoa

O ulutala saogalemu e maua ai le suʻesuʻega ma faʻatonuga saogalemu e faʻaitiitia ai faʻafitauli masani:

  • Faiga Faʻavae Puipuiga (CSP): Pulea po o fea punaoa e mafai ona utaina, puipuia le faʻatinoina o tusitusiga e leʻi faʻatagaina ma tui faʻamaumauga [S1].
  • Strict-Transport-Security (HSTS): Fa'amautinoa e na'o feso'ota'iga le su'esu'e i feso'ota'iga HTTPS malupuipuia [S2].
  • X-Frame-Filifiliga: Puipuia le talosaga mai le tuuina atu i totonu o se iframe, o se puipuiga muamua mai le kilikiina o le [S1].
  • X-Content-Type-Options: Taofi le su'esu'e mai le fa'aliliuina o faila e ese le ituaiga MIME nai lo le mea o lo'o fa'amaoti mai, taofia ai osofa'iga e sogisogi MIME [S2].

Fa'afefea ona su'e le FixVibe

FixVibe e mafai ona iloa lenei mea e ala i le suʻeina o ulutala tali HTTP o se upega tafaʻilagi. E ala i le fa'avasegaina o fa'ai'uga e fa'atatau i tulaga fa'ata'ita'iga a le MDN Observatory [S2], FixVibe e mafai ona fu'a fa'auluulu e misi pe fa'aseseina e pei ole CSP, HSTS, ma XXCV Option.

Fa'amau

Faʻafou le 'upega tafaʻilagi (faʻataʻitaʻiga, Nginx, Apache) poʻo le middleware talosaga e aofia ai ulutala nei i tali uma o se vaega o le tulaga saogalemu [S1]:

  • Content-Security-Policy: Fa'atapula'a puna'oa puna'oa i vaega fa'atuatuaina.
  • Strict-Transport-Security: Fa'amalosia le HTTPS ma le max-age umi.
  • X-Content-Type-Options: Seti i le nosniff [S2].
  • X-Frame-Options: Seti i le DENY poʻo le SAMEORIGIN e puipuia ai le kilikiina o le [S1].