- ۴۳۹ رؤیت
شما به آسانی می توانید امنیت اپلیکیشن وبی خود را با استفاده از تعدادی header به response های سرور در زمانی که صفحات request می شوند را تضمین می کند افزایش دهید. تیم ما به طور مکرر این تغییرات سرور را برای سرویس گیرنده ها توصیه می کند. این ترفند های کوچک زمان کمی را برای پیاده سازی می برد و نیازی به هیچ ویرایش کد برنامه ندارد. هر چند, آنها به طور مشخص امنیت محیط بین سرورها و مرورگرهای شما را توسعه می دهند.
۱.HSTS
اولین روشی که ما توصیه می کنیم درخواست اتصالات کد گذاری شده با کمک HTTP Strict Transport Security-HSTS می باشد.Header مخصوص HSTS ارتباطات SSL را بین سرور ها و مرورگرها اجرا می کند, که از مرورگر از انتقال حساس در حیطه ارتباط غیر کد گذاری شده جلوگیری می کند این به ما کمک می کند تا از نشت کردن داده غیر عمدی جلوگیری کنیم. همانند مرورگر که برای ارسال cookie ها می تواند در clear-text URL برنامه را در داخل نوار موقعیت تایپ کند و به آن http اختصاص ندهد.
به علاوه header مخصوص HSTS از مرورگر جلوگیری می کند تا به کاربران اجازه ندهد هیچ یک از SSL Certificate Warnings ها را که تولید شده اند را رد کند.اخطار های SSL می توانند نشانه ای از Man-In-The-Middle-Attacks ها باشند. کاربران که تنها ارتباطات نا ایمن را accept کرده اند و ادامه داده اند ممکن است اعتبار نامه را برای حمله کننده های بد اندیش رابه طور اتفاقی مرور کنند. Eader مخصوص HSTS می تواند به آسانی بر روی هر پلتفرمی پیاده سازی شود.
۲.حفاظت کننده X-XSS
در برنامه نویسی چند برنامه ای حملات XSS یکی از معمول ترین نفوذ های امنیت وب که هکر کد بدخیم سمت کاربر را به داخل صفحات وب تزریق می کند می توانند آسیب پذیری های XSS را برای کنار گذاشتن کنترل های دسترسی بین سایر موارد بدست آورند.
header مخصوص حفاظت XSS را در مرورگر کاربر فعال می کنیم. به طور پیشفرض این می بایستی در داخل مرورگر وب فعال شود. اما این امکان برای کاربران وجود دارد که آن را غیرفعال کنند و یا توسط عامل بدخواه غیرفعال شده باشد که شامل header موجود در response برنامه شماست که این را تضمین می کند که مرورگر این حفاظت افزوده را فعال کرده باشد. مهم نیست که تنظیمات محلی چه هستند مقدار header همواره برابر “X-XSS-Protection: ۱; mode=block” است و می تواند همانند HSTS پیاده سازی شود.
۳.گزینه های X-Frame
Header مخصوص X-Frame-Options هر چیزی را که برنامه شما می تواند اجرا کند را در فریم مرورگر کنترل می کند. از برنامه خود در مقابل بارگذاری در داخل فریم روی سایت دیگر که می تواند از حملات Clickjacking جلوگیری می کند حفاظت کنید.این حملات زمانی روی می دهند که یک برنامه در یک Frame نامرئی که توسط مهاجم کنترل می شود بارگذاری شود.
این حملات را در زمانی رخ می دهد که یک برنامه در frame پشت frame نامرئی توسط مهاجم کنترلر بارگذاری شود که می تواند به کاربر ارجاع داده شود. در اینجا گزینه های اجرایی متعددی وجود دارد. انتخاب شما می تواند تا حد زیادی در مورد اینکه آیا هر قسمت از نرم افزار خود را هرگز بارگذاری شود به طراحی بستگی دارد. باز هم، این گزینه های پیکربندی وب سرور باید تغییرات کمی را بر روی نرم افزار خود ایجاد کنید، اما می توانید تغییرات قابل توجهی بر روی امنیت سایت خود ایجاد کنید.
برای اطلاعات بیشتر سایت OWASP جدول مناسبی را ارائه کرده همچنین شبکه Developer شرکت Mozilla یک منبع خوب دیگری را برای پیاده سازی header های HTTP ارائه کرده است.
برای شروع توسعه امنیت برنامه وبی تان به قسمت contact Pivot Point Security بروید.
