Wanneer 'n blaaier 'n versoek aan 'n plaaslike bediener rig, heg dit ekstra opskrifte, soos die gasheer- en oorsprongopskrifte, aan om bykomende inligting aan die bediener te verskaf. Hierdie opskrifte speel 'n deurslaggewende rol om die sekuriteit en behoorlike funksionering van webtoepassings te verseker. In hierdie antwoord sal ons ondersoek hoe die blaaier hierdie opskrifte aanheg en die betekenis daarvan in die konteks van plaaslike HTTP-bedienersekuriteit bespreek.
Die gasheeropskrif is 'n noodsaaklike komponent van die HTTP-versoek en word gebruik om die teikengasheer te spesifiseer waarna die versoek gestuur word. Wanneer 'n versoek aan 'n plaaslike bediener gerig word, sluit die blaaier die gasheeropskrif in om die gasheernaam of IP-adres aan te dui van die bediener waarmee hy wil kommunikeer. Dit laat die bediener toe om die beoogde bestemming van die versoek te identifiseer. Byvoorbeeld, as 'n blaaier toegang wil verkry tot 'n webblad wat op 'n plaaslike bediener met die IP-adres 192.168.0.1 gehuisves word, sal dit die gasheeropskrif soos volg insluit: "Gasheer: 192.168.0.1". Die bediener gebruik dan hierdie inligting om die versoek na die toepaslike hulpbron te stuur.
Die oorsprongkopskrif, aan die ander kant, is 'n sekuriteitsmeganisme wat deur moderne blaaiers geïmplementeer word om teen kruisoorsprongaanvalle te beskerm. Dit spesifiseer die oorsprong waarvandaan die versoek gedoen word, insluitend die protokol, gasheernaam en poortnommer. Die blaaier sluit outomaties die oorsprongkop in versoeke aan plaaslike bedieners in om te verseker dat die bediener die bron van die versoek kan verifieer. Byvoorbeeld, as 'n webblad wat by "http://localhost:8080" gehuisves word, 'n versoek aan 'n plaaslike bediener by "http://localhost:3000" rig, sal die blaaier die oorsprong-opskrif soos volg insluit: "Origin: http ://plaaslike gasheer:8080". Dit laat die bediener toe om te bevestig dat die versoek van 'n verwagte bron afkomstig is en help om ongemagtigde toegang tot sensitiewe hulpbronne te voorkom.
Benewens die gasheer- en oorsprongopskrifte, is daar ander opskrifte wat blaaiers kan aanheg wanneer hulle versoeke aan plaaslike bedieners rig. Byvoorbeeld, die gebruiker-agent-opskrif verskaf inligting oor die kliënttoepassing (dws die blaaier) wat die versoek rig. Hierdie opskrif help die bediener om die vermoëns en beperkings van die kliënt te verstaan, wat dit in staat stel om toepaslike antwoorde te verskaf.
Dit is belangrik om daarop te let dat hoewel blaaiers hierdie opskrifte by verstek aanheg, dit ook op verskillende maniere gewysig of verwyder kan word. Dit kan gedoen word deur blaaieruitbreidings, instaanbedieners, of deur die versoek direk met behulp van programmeringstegnieke te manipuleer. Daarom is dit van kardinale belang vir bedieneradministrateurs om toepaslike sekuriteitsmaatreëls te implementeer om inkomende versoeke te valideer en te ontsmet, ongeag die teenwoordigheid van hierdie opskrifte.
Wanneer 'n blaaier 'n versoek aan 'n plaaslike bediener rig, heg dit ekstra opskrifte soos die gasheer- en oorsprongopskrifte aan. Die gasheeropskrif spesifiseer die teikengasheer van die versoek, terwyl die oorsprongkopskrif teen kruisoorsprongaanvalle help beskerm. Hierdie opskrifte speel 'n belangrike rol om die sekuriteit en behoorlike funksionering van webtoepassings te verseker. Bedieneradministrateurs moet bewus wees van hierdie opskrifte en toepaslike sekuriteitsmaatreëls implementeer om inkomende versoeke te valideer en te ontsmet.
Ander onlangse vrae en antwoorde t.o.v EITC/IS/WASF Webtoepassings vir veiligheidstoepassings:
- Wat is haal-metadataversoekopskrifte en hoe kan dit gebruik word om te onderskei tussen dieselfde oorsprong en kruiswerfversoeke?
- Hoe verminder betroubare tipes die aanvaloppervlak van webtoepassings en vereenvoudig sekuriteitbeoordelings?
- Wat is die doel van die verstekbeleid in betroubare tipes en hoe kan dit gebruik word om onveilige stringtoewysings te identifiseer?
- Wat is die proses om 'n betroubare tipe voorwerp te skep deur die betroubare tipes API te gebruik?
- Hoe help die betroubare tipes-aanwysing in 'n inhoudsekuriteitsbeleid om DOM-gebaseerde kruiswerfskrif (XSS) kwesbaarhede te versag?
- Wat is betroubare tipes en hoe spreek hulle DOM-gebaseerde XSS-kwesbaarhede in webtoepassings aan?
- Hoe kan inhoudsekuriteitsbeleid (CSP) help om kruis-werf scripting (XSS) kwesbaarhede te versag?
- Wat is cross-site request forgery (CSRF) en hoe kan dit deur aanvallers uitgebuit word?
- Hoe kompromitteer 'n XSS-kwesbaarheid in 'n webtoepassing gebruikersdata?
- Wat is die twee hoofklasse kwesbaarhede wat algemeen in webtoepassings voorkom?
Sien meer vrae en antwoorde in EITC/IS/WASF Web Applications Security Fundamentals