FixVibe
Covered by FixVibemedium

Конфигуратсияи нокифояи сарлавҳаи амният

Барномаҳои веб аксар вақт сарлавҳаҳои муҳими амниятиро амалӣ карда наметавонанд ва корбаронро ба скриптҳои байнисоҳавӣ (XSS), клик кардан ва воридкунии маълумот дучор мекунанд. Бо риояи дастурҳои муқарраршудаи амнияти веб ва бо истифода аз абзорҳои аудиторӣ ба монанди Обсерваторияи MDN, таҳиягарон метавонанд барномаҳои худро бар зидди ҳамлаҳои маъмулии браузер ба таври назаррас сахттар кунанд.

CWE-693

Таъсир

Набудани сарлавҳаҳои амниятӣ ба ҳамлагарон имкон медиҳад, ки кликро анҷом диҳанд, кукиҳои сессияро дузданд ё скрипти байнисоҳавӣ (XSS) [S1] иҷро кунанд. Бе ин дастурҳо, браузерҳо наметавонанд сарҳадҳои амниятиро риоя кунанд, ки боиси ихроҷи эҳтимолии додаҳо ва амалҳои беиҷозати корбар мегардад [S2].

Сабаби аслӣ

Мушкилот аз нокомии конфигуратсияи серверҳои веб ё чаҳорчӯбаи барномаҳо барои дохил кардани сарлавҳаҳои стандартии амнияти HTTP бармеояд. Гарчанде ки таҳия аксар вақт HTML ва CSS-и функсионалӣ [S1]-ро бартарият медиҳад, конфигуратсияҳои амниятӣ аксар вақт сарфи назар карда мешаванд. Воситаҳои аудиторӣ ба монанди Обсерваторияи MDN барои ошкор кардани ин қабатҳои муҳофизатии гумшуда ва таъмини ҳамкории байни браузер ва сервер бехатарии [S2] тарҳрезӣ шудаанд.

Тафсилоти техникӣ

Сарлавҳаҳои амниятӣ браузерро бо дастурҳои махсуси амниятӣ барои кам кардани осебпазирии умумӣ таъмин мекунанд:

  • Сиёсати амнияти мундариҷа (CSP): Назорат мекунад, ки кадом захираҳоро бор кардан мумкин аст, пешгирӣ аз иҷрои беиҷозати скрипт ва воридкунии маълумот [S1].
  • Қатъиян-Нақлиёт-Амният (HSTS): Браузер танҳо тавассути пайвастҳои бехатари HTTPS [S2] муошират мекунад.
  • X-Frame-Options: Намоиши барномаро дар iframe пешгирӣ мекунад, ки ин муҳофизати аввалия аз клики [S1] мебошад.
  • Намудҳои X-Content-Type: Браузерро аз тафсири файлҳо ҳамчун навъи MIME-и дигар аз он чи ки муқаррар шудааст, пешгирӣ мекунад ва ҳамлаҳои MIME-ро қатъ мекунад [S2].

Чӣ тавр FixVibe онро озмоиш мекунад

FixVibe метавонад инро тавассути таҳлили сарлавҳаҳои посухи HTTP-и барномаи веб муайян кунад. Бо муқоисаи натиҷаҳо бо стандартҳои Обсерваторияи MDN [S2], FixVibe метавонад сарлавҳаҳои гумшуда ё нодуруст танзимшударо ба монанди CSP, HSTS, ва XOptions-, қайд кунанд.

Ислоҳ

Веб-серверро (масалан, Nginx, Apache) ё миёнаравии барномаро навсозӣ кунед, то сарлавҳаҳои зеринро дар ҳама ҷавобҳо ҳамчун як қисми ҳолати стандартии бехатарии [S1] дохил кунед:

  • Мундариҷа-Амният-Сиёсат: Манбаъҳои захираҳоро ба доменҳои боэътимод маҳдуд кунед.
  • Қатъиян-Нақлиёт-Амният: HTTPS-ро бо max-age дароз иҷро кунед.
  • Интихобҳои навъи X-Content-Type: Ба nosniff [S2] насб кунед.
  • X-Frame-Options: Танзими DENY ё SAMEORIGIN барои пешгирии клики [S1].