Hacker News

د پینټیسټانو لپاره CSP: د اساساتو پوهیدل

تبصرې

2 min read Via www.kayssel.com

Mewayz Team

Editorial Team

Hacker News

ولې هر پینټیسټر د مینځپانګې امنیت پالیسي ماسټر کولو ته اړتیا لري

د منځپانګې امنیت پالیسي (CSP) د کراس سایټ سکریپټینګ (XSS)، ډیټا انجیکشن، او د کلیک جیک بریدونو په وړاندې د براوزر د اړخ دفاعي میکانیزمونو څخه یو ډیر مهم دی. بیا هم د ننوتلو آزموینې بوختیا کې، د CSP سرلیکونه یو له ډیری مکرر غلط ترتیب شوي - او غلط پوهیدل - د امنیت کنټرول پاتې دي. د 2024 یوه څیړنه چې د 1 ملیون څخه ډیر ویب پاڼې تحلیل کوي موندلي چې یوازې 12.8٪ په ټوله کې د CSP سرلیکونه ګمارل شوي، او له دې څخه، نږدې 94٪ لږترلږه د پالیسۍ ضعف لري چې کارول کیدی شي. د پینټیسټانو لپاره، د CSP پوهیدل اختیاري ندي - دا د سطحې کچې ارزونې او یو راپور ترمنځ توپیر دی چې په حقیقت کې د پیرودونکي امنیتي حالت پیاوړی کوي.

که تاسو د ویب غوښتنلیک ارزونه ترسره کوئ، د بګ فضل ښکار کول، یا د سوداګرۍ پلیټ فارم کې امنیت رامینځته کول چې د پیرودونکي حساس ډیټا اداره کوي، د CSP پوهه بنسټیزه ده. دا لارښود تشریح کوي چې CSP څه شی دی، دا څنګه د هوډ لاندې کار کوي، چیرته چې دا ناکامه کیږي، او څنګه پینټیسټران کولی شي په سیستماتیک ډول ارزونه وکړي او کمزورې تګلارې تعقیب کړي.

د منځپانګې امنیت پالیسي په حقیقت کې څه کوي

په خپل اصل کې، CSP یو اعلاناتي امنیتي میکانیزم دی چې د HTTP ځواب سرلیک له لارې وړاندې کیږي (یا لږ عام، د ټګ). دا براوزر ته لارښوونه کوي چې د مینځپانګې سرچینې - سکریپټونه ، سټایلونه ، عکسونه ، فونټونه ، چوکاټونه او نور - په ورکړل شوي پا pageه کې د پورته کولو او اجرا کولو اجازه لري. کله چې یوه سرچینه له پالیسۍ څخه سرغړونه کوي، براوزر یې بندوي او په اختیاري توګه د سرغړونې یو ټاکلي پای ته راپور ورکوي.

د CSP تر شا اصلي انګیزه د XSS بریدونو کمول وو. د XSS دودیز محافظتونه لکه د ان پټ پاکولو او د محصول کوډ کول اغیزمن دي مګر خراب دي - یو واحد یاد شوی شرایط یا د کوډ کولو تېروتنه کولی شي زیان منونکي بیا معرفي کړي. CSP د دفاع ژوره پرت اضافه کوي: حتی که یو برید کونکی په DOM کې ناوړه سکریپټ ټاګ داخل کړي، په سمه توګه ترتیب شوې پالیسي براوزر د هغې د اجرا کولو مخه نیسي.

CSP په سپینه لیست ماډل باندې کار کوي. د پیژندل شوي خراب مینځپانګې د بندولو هڅه کولو پرځای ، دا هغه څه تعریفوي چې په څرګند ډول اجازه لري. نور هرڅه د ډیفالټ لخوا رد شوي. د امنیتي ماډل دا انعطاف په تیوري کې خورا پیاوړی دی، مګر په عمل کې، د پیچلو ویب غوښتنلیکونو په اوږدو کې د سختو پالیسیو ساتل - په ځانګړې توګه هغه پلیټ فارمونه چې لسګونه مدغم ماډلونه لکه CRM، رسید، تحلیل، او بکینګ سیسټمونه اداره کوي - په بده توګه ستونزمن کار دی.

د CSP سرلیک اناتومي: لارښوونې او سرچینې

د CSP سرلیک له لارښوونو څخه جوړ دی، هر یو د یوې ځانګړې سرچینې ډول کنټرولوي. د دې لارښوونو پوهیدل د هر پینټسټر لپاره اړین دي چې د هدف پالیسي ارزونه وکړي. تر ټولو مهم لارښوونو کې شامل دي default-src (د هرې لارښوونې لپاره چې په واضح ډول نه وي ټاکل شوي)، script-src (جاوا سکریپټ اجرا کول)، style-src (CSS)، img-src (انځورونه)، connect، WebTchFectch/HrcS) frame-src (د افریمونو ځای پرځای شوي)، او object-src (پلگ ان لکه فلش یا جاوا ایپلټونه).

هر لارښود یو یا څو سرچینې څرګندونې مني چې اجازه ورکړل شوي اصل تعریفوي. دا د ځانګړو کوربه نومونو (https://cdn.example.com) څخه تر پراخو کلیمو پورې اړه لري:

  • 'ځان' — د سند په څیر د ورته اصل څخه سرچینو ته اجازه ورکوي
  • 'هیڅ' - د دې ډول ټولې سرچینې بندوي
  • 'غیر محفوظ انلاین' — د انلاین سکریپټونو یا سټایلونو اجازه ورکوي (په مؤثره توګه د XSS محافظت بې طرفه کوي)
  • 'unsafe-eval' — اجازه ورکوي eval(), setTimeout(string)، او ورته متحرک کوډ اجرا کول
  • 'nonce-{random}' — اجازه ورکوي ځانګړي انلاین سکریپټونو ته چې د ورته کریپټوګرافیک نانس سره ټګ شوي وي
  • 'سخت-متحرک' — د باور وړ سکریپټونو لخوا بار شوي سکریپټونه اعتماد کوي، د کوربه پر بنسټ اجازه لیستونو ته سترګې په لار دي
  • ډاټا: — د معلوماتو URIs د منځپانګې سرچینې په توګه اجازه ورکوي

د ریښتینې نړۍ CSP سرلیک ممکن داسې ښکاري: د منځپانګې-امنیت-پالیسي: default-src 'self'; script-src 'self' https://cdn.jsdelivr.net 'nonce-abc123'; style-src 'self' 'unsafe-inline'; img-src*; اعتراض-src 'هیڅ'. د یو پینټیسټر په توګه، ستاسو دنده دا ده چې دا پالیسي ولولئ او سمدلاسه وپیژنئ چې چیرې دا قوي دی، چیرته کمزوری دی، او چیرته یې د ګټې اخیستنې وړ دی.

عام CSP غلط ترتیب پینټیسټران باید په نښه کړي

د CSP سرلیک د ځای په ځای کولو او د اغیزمن CSP سرلیک د ځای پرځای کولو ترمنځ واټن خورا لوی دی. په عمل کې، ډیری پالیسۍ د پراختیا کونکي اسانتیا، د دریمې ډلې ادغام، یا ساده غلط فهمۍ لخوا معرفي شوي ضعفونه لري. د ارزونې په جریان کې، پینټیسټان باید په سیستماتیک ډول د دې عام ناکامیو لپاره وګوري.

تر ټولو ویجاړونکی غلط تشکیل په سکریپټ-src لارښود کې د 'غیر محفوظ-انلاین' شتون دی. دا واحد کلیدي کلمه د CSP د XSS ضد ټوله ګټه په لازمي ډول بې ګټې کوي ، ځکه چې دا براوزر ته اجازه ورکوي چې هر ډول انلاین