FixVibe
Covered by FixVibemedium

Next.js Saogalemu Ulutala Sesconfiguration i next.config.js

O talosaga Next.js e fa'aoga le next.config.js mo le fa'auluuluga o le fa'atonuga e ono a'afia i va o le puipuiga pe afai e le sa'o le fa'atusa o ala. O lenei su'esu'ega e su'esu'e ai pe fa'afefea ona fa'aletonu le fa'aogaina o le wildcard ma le regex i le misi o ulutala puipui i luga o auala ma'ale'ale ma pe fa'afefea ona fa'ama'a'a le fa'atulagaga.

CWE-1021CWE-200

Aafiaga

E mafai ona fa'aogaina fa'auluuluga o le puipuiga e misi e fa'atino ai le kiliki, fa'asologa o tusitusiga i luga ole laiga (XSS), po'o le aoina o fa'amatalaga e uiga i le si'osi'omaga server [S2]. A fa'aulutala pei o le Content-Security-Policy (CSP) po'o le X-Frame-Options e le fetaui le fa'aogaina i luga o auala, e mafai e tagata osofa'i ona taula'i i auala patino e le'i puipuia e pasia ai le fa'atonutonuga o le puipuiga o le nofoaga ZXCVFIXXVIBETOKEN3.

Mafua'aga

Next.js e mafai ai e le au atinaʻe ona faʻapipiʻi ulutala tali i le next.config.js e faʻaaoga ai le headers meatotino [S2]. O le fa'aoga lea e fa'aogaina ai le fa'afetauiga o ala e lagolagoina ai fa'aigoa ma fa'amatalaga masani [S2]. O fa'afitauli fa'aletonu e masani ona tula'i mai:

  • E le'o atoatoa le Uiga o le Ala: Fa'ata'ita'iga, /path*) atonu e le mafai ona aofia uma ai so'o fa'amoemoe, ma tu'u ai itulau fa'amoega e aunoa ma ni ulutala puipui [S2].
  • Fa'aaliga Fa'amatalaga: E le mafai, Next.js e mafai ona aofia ai le X-Powered-By ulutala, lea e faʻaalia ai le faʻavae faʻavae seʻi vagana ua matua le atoatoa e ala i le poweredByHeader configuration ZXCVIFIXZVIBECTOKV.
  • CORS Misconfiguration: Le fa'amalamalamaina Access-Control-Allow-Origin ulutala i totonu o le headers e mafai ona fa'atagaina le fa'atagaina le fa'auluina o fa'amatalaga ma'ale'ale ZXCVFIXXVIBETOKEN2.

Fa'atonu Sima

  • Su'e Ala Fa'ata'ita'iga: Fa'amautinoa uma fa'asologa o le source i le next.config.js fa'aogaina fa'atagata talafeagai (fa'ata'ita'iga, /:path*) e fa'aoga ulutala i le lalolagi pe a mana'omia ZXCVFIXVICVETOKEN3ZXCVFIXVICVETOKEN3ZXCV.
  • Fa'atapē le Su'ega tamatamailima: Seti le poweredByHeader: false i le next.config.js e puipuia ai le ulutala X-Powered-By mai le auina atu [S2].
  • Tagata CORS: Seti le Access-Control-Allow-Origin i vaega fa'atuatuaina fa'apitoa nai lo fa'amatu'u i le headers fetuutuunai [S2].

Fa'afefea ona su'e le FixVibe

E mafai e le FixVibe ona fa'atino se su'esu'ega fa'ato'aga e ala i le tolotolo o le talosaga ma fa'atusatusa ulutala puipui o auala eseese. E ala i le su'esu'eina o le ulutala X-Powered-By ma le tutusa o le Content-Security-Policy i le loloto o auala eseese, e mafai ai e le FixVibe ona iloa ni avanoa fa'aopoopo i le next.config.js.