Ipa
Aisi awọn akọle aabo ngbanilaaye awọn ikọlu lati ṣe tẹjacking, ji awọn kuki igba, tabi ṣiṣẹ iwe afọwọkọ aaye-agbelebu (XSS) [S1]. Laisi awọn ilana wọnyi, awọn aṣawakiri ko le fi ipa mu awọn aala aabo, ti o yori si imukuro data ti o pọju ati awọn iṣe olumulo laigba aṣẹ [S2].
Gbongbo Idi
Ọrọ naa wa lati ikuna lati tunto awọn olupin wẹẹbu tabi awọn ilana ohun elo lati pẹlu awọn akọle aabo HTTP boṣewa. Lakoko ti idagbasoke nigbagbogbo ṣe pataki HTML iṣẹ-ṣiṣe ati CSS [S1], awọn atunto aabo nigbagbogbo yọkuro. Awọn irinṣẹ iṣatunṣe bii MDN Observatory jẹ apẹrẹ lati ṣawari awọn ipele igbeja ti o padanu ati rii daju ibaraenisepo laarin ẹrọ aṣawakiri ati olupin ni aabo [S2].
Awọn alaye imọ-ẹrọ
Awọn akọle aabo pese ẹrọ aṣawakiri pẹlu awọn itọsọna aabo kan pato lati dinku awọn ailagbara ti o wọpọ:
- Aabo Aabo Akoonu (CSP): Awọn iṣakoso eyi ti awọn orisun le wa ni kojọpọ, idilọwọ ipaniyan iwe afọwọkọ ati abẹrẹ data [S1].
- Ina-Transport-Aabo (HSTS): Ṣe idaniloju ẹrọ aṣawakiri nikan sọrọ lori awọn asopọ HTTPS to ni aabo [S2].
- X-Fireemu-Awọn aṣayan: Ṣe idilọwọ ohun elo lati ṣe ni iframe, eyiti o jẹ aabo akọkọ lodi si tẹjacking [S1].
- X-Akoonu-Iru-Aṣayan: Ṣe idilọwọ fun ẹrọ aṣawakiri lati tumọ awọn faili bi iru MIME ti o yatọ ju eyiti a ti sọ, idaduro MIME-sniffing ku [S2].
Bawo ni FixVibe ṣe idanwo fun rẹ
FixVibe le ṣe awari eyi nipa ṣiṣe ayẹwo awọn akọle idahun HTTP ti ohun elo wẹẹbu kan. Nipa isamisi awọn abajade lodi si awọn iṣedede MDN Observatory [S2], FixVibe le ṣe asia ti nsọnu tabi awọn akọle ti ko tọ gẹgẹbi CSP, HSTS, ati XXCV
Ṣe atunṣe
Ṣe imudojuiwọn olupin wẹẹbu (fun apẹẹrẹ, Nginx, Apache) tabi ohun elo middleware lati ṣafikun awọn akọle atẹle ni gbogbo awọn idahun gẹgẹbi apakan ti iduro aabo boṣewa [S1]:
- Akoonu-Aabo-Afihan *: Dena awọn orisun orisun si awọn agbegbe ti o gbẹkẹle.
- Ina-Transport-Aabo *: Mu HTTPS ṣiṣẹ pẹlu gun
max-age. - X-Akoonu-Iru-Aṣayan *: Ṣeto si
nosniff[S2]. - X-Fireemu-Aṣayan *: Ṣeto si
DENYtabiSAMEORIGINlati se clickjacking [S1].