Kai naršyklė pateikia užklausą vietiniam serveriui, ji prideda papildomas antraštes, pvz., pagrindinio kompiuterio ir kilmės antraštes, kad serveriui pateiktų papildomos informacijos. Šios antraštės atlieka itin svarbų vaidmenį užtikrinant žiniatinklio programų saugumą ir tinkamą veikimą. Šiame atsakyme išnagrinėsime, kaip naršyklė prideda šias antraštes, ir aptarsime jų reikšmę vietinio HTTP serverio saugumo kontekste.
Pagrindinio kompiuterio antraštė yra esminis HTTP užklausos komponentas ir naudojama nurodyti tikslinį pagrindinį kompiuterį, kuriam siunčiama užklausa. Pateikdama užklausą vietiniam serveriui, naršyklė įtraukia pagrindinio kompiuterio antraštę, nurodydama serverio, su kuriuo nori susisiekti, pagrindinio kompiuterio pavadinimą arba IP adresą. Tai leidžia serveriui nustatyti numatytą užklausos paskirties vietą. Pavyzdžiui, jei naršyklė nori pasiekti tinklalapį, priglobtą vietiniame serveryje, kurio IP adresas yra 192.168.0.1, joje bus nurodyta pagrindinio kompiuterio antraštė: „Host: 192.168.0.1“. Tada serveris naudoja šią informaciją, kad nukreiptų užklausą į atitinkamą šaltinį.
Kita vertus, kilmės antraštė yra šiuolaikinių naršyklių įdiegtas saugos mechanizmas, skirtas apsaugoti nuo įvairių šaltinių atakų. Nurodoma užklausos kilmė, įskaitant protokolą, pagrindinio kompiuterio pavadinimą ir prievado numerį. Naršyklė automatiškai įtraukia kilmės antraštę į užklausas vietiniams serveriams, siekdama užtikrinti, kad serveris galėtų patikrinti užklausos šaltinį. Pavyzdžiui, jei tinklalapis, priglobtas adresu „http://localhost:8080“, pateikia užklausą vietiniam serveriui adresu „http://localhost:3000“, naršyklė įtrauks kilmės antraštę taip: „Kilmė: http ://localhost:8080". Tai leidžia serveriui patvirtinti, kad užklausa yra iš tikėtino šaltinio, ir padeda išvengti neteisėtos prieigos prie jautrių išteklių.
Be pagrindinio kompiuterio ir kilmės antraščių, yra ir kitų antraščių, kurias naršyklės gali pridėti teikdamos užklausas vietiniams serveriams. Pavyzdžiui, vartotojo agento antraštėje pateikiama informacija apie kliento programą (ty naršyklę), pateikiančią užklausą. Ši antraštė padeda serveriui suprasti kliento galimybes ir apribojimus, todėl jis gali pateikti tinkamus atsakymus.
Svarbu pažymėti, kad nors naršyklės šias antraštes prideda pagal numatytuosius nustatymus, jas taip pat galima keisti arba pašalinti įvairiomis priemonėmis. Tai galima padaryti naudojant naršyklės plėtinius, tarpinius serverius arba tiesiogiai manipuliuojant užklausa naudojant programavimo metodus. Todėl labai svarbu, kad serverio administratoriai įdiegtų tinkamas saugos priemones, kad patvirtintų ir išvalytų gaunamas užklausas, neatsižvelgiant į tai, ar yra šių antraščių.
Kai naršyklė pateikia užklausą vietiniam serveriui, ji prideda papildomų antraščių, pvz., pagrindinio kompiuterio ir kilmės antraštes. Prieglobos antraštė nurodo tikslinį užklausos pagrindinį kompiuterį, o kilmės antraštė padeda apsisaugoti nuo įvairių šaltinių atakų. Šios antraštės atlieka labai svarbų vaidmenį užtikrinant žiniatinklio programų saugumą ir tinkamą veikimą. Serverio administratoriai turėtų žinoti apie šias antraštes ir įgyvendinti atitinkamas saugos priemones, kad patvirtintų ir išvalytų gaunamas užklausas.
Kiti naujausi klausimai ir atsakymai apie EITC/IS/WASF žiniatinklio programų saugos pagrindai:
- Kas yra gauti metaduomenų užklausų antraštės ir kaip jas galima naudoti norint atskirti tos pačios kilmės ir kelių svetainių užklausas?
- Kaip patikimi tipai sumažina žiniatinklio programų atakų paviršių ir supaprastina saugos peržiūras?
- Koks yra numatytosios patikimų tipų politikos tikslas ir kaip ją naudoti norint nustatyti nesaugius eilučių priskyrimus?
- Koks yra patikimų tipų objekto kūrimo procesas naudojant patikimų tipų API?
- Kaip patikimų tipų direktyva turinio saugos politikoje padeda sumažinti DOM pagrįstą kryžminio scenarijaus (XSS) pažeidžiamumą?
- Kas yra patikimi tipai ir kaip jie pašalina DOM pagrįstus XSS pažeidžiamumus žiniatinklio programose?
- Kaip turinio saugos politika (CSP) gali padėti sumažinti scenarijų tarp svetainių (XSS) spragas?
- Kas yra kelių svetainių užklausų klastojimas (CSRF) ir kaip užpuolikai gali juo pasinaudoti?
- Kaip XSS pažeidžiamumas žiniatinklio programoje pažeidžia vartotojo duomenis?
- Kokios yra dvi pagrindinės pažeidžiamumo klasės, dažniausiai aptinkamos žiniatinklio programose?
Peržiūrėkite daugiau klausimų ir atsakymų EITC/IS/WASF žiniatinklio programų saugos pagrinduose