FixVibe
Covered by FixVibehigh

Wiwọle Data Laigba aṣẹ nipasẹ Sonu Supabase Aabo Ipele Ipele (RLS)

Ninu awọn ohun elo ti o ṣe atilẹyin Supabase, aabo data da lori Aabo Ipele Ipele (RLS). Ti RLS ko ba mu ṣiṣẹ ni gbangba ati tunto pẹlu awọn eto imulo, olumulo eyikeyi ti o ni bọtini ailorukọ gbogbogbo le ka, ṣe imudojuiwọn, tabi paarẹ data kọja gbogbo aaye data. Eyi ṣe pataki ni pataki ni awọn agbegbe Next.js nibiti alabara Supabase ti wa ni ipilẹṣẹ nigbagbogbo pẹlu bọtini API ti gbogbo eniyan.

CWE-284

Ipa

Ikuna lati ṣe Aabo Ipele Ipele (RLS) ngbanilaaye awọn ikọlu ti ko ni ifọwọsi lati beere data lati inu ibi ipamọ data Supabase nigbati awọn tabili gbangba ba farahan nipasẹ aala anon [S1]. Nitori awọn ohun elo Next.js ni igbagbogbo ṣafihan Supabase anon bọtini ni koodu ẹgbẹ-ẹgbẹ, ikọlu le lo bọtini yii lati ṣe taara REST API awọn ipe olumulo ti o ni imọlara si ohun elo data ti a pinnu, nipa iwọle si alaye ifura data. [S2].

Gbongbo Idi

Nipa aiyipada, awọn tabili Postgres ni Supabase nilo imuṣiṣẹ ni gbangba ti Aabo Ipele Ipele lati ṣe idiwọ iraye si gbogbo eniyan [S1]. Nigbati olupilẹṣẹ ba ṣẹda tabili kan ṣugbọn gbagbe lati mu RLS ṣiṣẹ tabi kuna lati ṣalaye awọn eto imulo ihamọ, data data le ṣafihan data si ẹnikẹni ti o ni bọtini anon ti iṣẹ akanṣe naa [S1]. Ninu awọn ohun elo Next.js, jigbe olupin-ẹgbẹ ati gbigba ẹgbẹ-ẹgbẹ tun nilo iṣọra Supabase iṣeto alabara nitori ipo olumulo ti o ni idaniloju de Layer database [S2].

Awọn atunṣe Nja

  • Jeki RLS: Sise ALTER TABLE "your_table_name" ENABLE ROW LEVEL SECURITY; fun gbogbo àkọsílẹ tabili ti o tọjú app data [S1].
  • Ṣetumo Awọn Ilana: Ṣẹda awọn eto imulo kan pato ti o ni ihamọ wiwọle si da lori ipo ijẹrisi olumulo, gẹgẹbi CREATE POLICY "Users can see their own data" ON your_table_name FOR SELECT USING (auth.uid() = user_id); [S1].
  • Awọn onibara Olupin-aabo: Nigbati o ba nlo Next.js, tọju ipa-iṣẹ awọn onibara olupin-nikan ati tun lo awọn asẹ nini ṣaaju ki o to pada data si awọn olumulo [S2].

Bawo ni FixVibe ṣe idanwo fun rẹ

FixVibe tẹlẹ nṣiṣẹ kika-nikan Supabase RLS ṣayẹwo nipasẹ baas.supabase-rls. Scanner ṣe awari URL iṣẹ akanṣe Supabase ati bọtini anon ti gbogbo eniyan lati awọn idii JavaScript orisun kanna, beere PostgREST fun metadata tabili ti gbogbo eniyan, ati awọn igbiyanju kika-nikan yan lati jẹrisi boya data ti farahan laisi igba olumulo kan. Ko fi sii, imudojuiwọn, paarẹ, tabi lo awọn iwe-ẹri ipa-iṣẹ. Awọn ọlọjẹ Repo tun le yẹ eyi ni iṣaaju nipasẹ repo.supabase.missing-rls, eyiti o ṣe afihan awọn ijira SQL ti o ṣẹda awọn tabili gbangba laisi ENABLE ROW LEVEL SECURITY.