FixVibe
Covered by FixVibehigh

Амнияти Next.js + Supabase: Пешгирии гузаришҳои бехатарии сатҳи сатр (RLS)

Барномаҳое, ки бо Next.js ва Supabase сохта шудаанд, барои ҳифзи додаҳо аксар вақт ба сатҳи амнияти сатҳ (RLS) такя мекунанд. Фаъол накардани RLS ё танзими нодурусти муштарии Supabase метавонад ба фошшавии пурраи махзани маълумот оварда расонад, ки ба корбарони беиҷозат имкон медиҳад, ки сабтҳои ҳассосро хонанд ё тағир диҳанд.

CWE-284

Таъсир

Агар Амнияти Сатҳи Сатр (RLS) [S1] дуруст иҷро нашавад, ҳамлагарон метавонанд мантиқи барномаро барои хондан, навсозӣ ё нест кардани сабтҳо дар пойгоҳи додаҳо гузаранд. Ин аксар вақт боиси фош шудани Маълумоти Шахси Муайяншаванда (PII) ё маълумоти ҳассоси барнома ба корбароне мегардад, ки танҳо ба калиди номаълуми ҷамъиятии API дастрасӣ доранд.

Сабаби аслӣ

Supabase барои идоракунии дастрасии маълумот дар сатҳи пойгоҳи додаҳо Postgres Row Level Security-ро истифода мебарад, ки барои таъмини амнияти додаҳо [S1] муҳим аст. Дар муҳити Next.js, таҳиягарон бояд муштарии Supabase эҷод кунанд, ки кукиҳо ва сеансҳоро дуруст идора карда, бехатариро ҳангоми намоиши сервер [S2] нигоҳ доранд. Одатан, осебпазириҳо дар ҳолатҳои зерин ба вуҷуд меоянд:

  • Ҷадвалҳо бидуни фаъолсозии RLS сохта мешаванд, ки онҳоро тавассути калиди оммавии [S1] дастрас мекунанд.
  • Мизоҷи Supabase дар Next.js нодуруст конфигуратсия карда шудааст, ки аломатҳои тасдиқи корбарро ба пойгоҳи додаҳои [S2] дуруст интиқол дода наметавонад.
  • Таҳиягарон тасодуфан калиди service_role-ро дар коди муштарӣ истифода мебаранд, ки он ҳама сиёсатҳои RLS-ро [S1] мегузарад.

Ислоҳҳои мушаххас

  • Даргиронидани RLS: Боварӣ ҳосил кунед, ки амнияти сатҳи сатр барои ҳар як ҷадвал дар пойгоҳи додаи Supabase-и [S1] фаъол карда шудааст.
  • Сиёсатро муайян кунед: Барои SELECT, INSERT, UPDATE ва DELETE сиёсатҳои мушаххаси Postgres эҷод кунед, то амалиёти маҳдудкунии дастрасии корбар дар асоси ID-и U [S1].
  • Истифодаи мизоҷҳои SSR: Маҷмӯаи @supabase/ssr-ро барои эҷод кардани мизоҷон дар Next.js татбиқ кунед, ки аутентификатсияи сервер ва давомнокии сессияи [S2]-ро дуруст идора мекунанд.

Чӣ тавр FixVibe онро озмоиш мекунад

FixVibe аллакай инро тавассути чекҳои барномаҳои ҷойгиршуда ва репо фаро мегирад. Модули ғайрифаъолонаи baas.supabase-rls URL-и Supabase ва ҷуфтҳои анон-калидҳоро аз бастаҳои JavaScript-и якхела кашф мекунад, аз PostgREST метамаълумотҳои ҷадвали оммавиро мепурсад ва интихоби маҳдуди танҳо барои хонданро барои тасдиқи фошкунии додаҳои номаълум бидуни мутатсия маълумоти муштарӣ иҷро мекунад. Сканҳои репо инчунин repo.supabase.missing-rls-ро барои нишон додани муҳоҷирати SQL, ки ҷадвалҳои ҷамъиятиро бидуни ENABLE ROW LEVEL SECURITY эҷод мекунанд, иҷро мекунанд ва сканҳои махфӣ пеш аз расидан ба браузер фош кардани калиди нақши хидматро меҷӯянд.