Kui brauser esitab päringu kohalikule serverile, lisab see serverile lisateabe andmiseks lisapäised, näiteks hosti ja päritolu päised. Need päised mängivad veebirakenduste turvalisuse ja nõuetekohase toimimise tagamisel üliolulist rolli. Selles vastuses uurime, kuidas brauser need päised lisab, ja arutame nende tähtsust kohaliku HTTP-serveri turvalisuse kontekstis.
Hostipäis on HTTP-päringu oluline komponent ja seda kasutatakse sihthosti määramiseks, millele päring saadetakse. Kohalikule serverile päringu esitamisel sisaldab brauser hosti päise, mis näitab selle serveri hostinime või IP-aadressi, millega ta soovib suhelda. See võimaldab serveril tuvastada päringu kavandatud sihtkoha. Näiteks kui brauser soovib pääseda juurde kohalikus serveris hostitud veebilehele IP-aadressiga 192.168.0.1, sisaldab see hosti päist järgmiselt: "Host: 192.168.0.1". Seejärel kasutab server seda teavet päringu suunamiseks sobivasse ressurssi.
Päritolupäis seevastu on turvamehhanism, mida kasutavad kaasaegsed brauserid, et kaitsta päritoluüleste rünnakute eest. See määrab päringu lähtekoha, sealhulgas protokolli, hostinime ja pordi numbri. Brauser lisab kohalikele serveritele suunatud päringutesse automaatselt päritolupäise, et server saaks päringu allikat kontrollida. Näiteks kui aadressil "http://localhost:8080" hostitud veebileht esitab päringu kohalikule serverile aadressil "http://localhost:3000", sisaldab brauser lähtepäise järgmiselt: "Origin: http ://localhost:8080". See võimaldab serveril kinnitada, et päring pärineb eeldatavast allikast, ja aitab vältida volitamata juurdepääsu tundlikele ressurssidele.
Lisaks hosti ja päritolu päistele on ka teisi päiseid, mida brauserid võivad kohalikele serveritele päringuid tehes lisada. Näiteks annab kasutajaagendi päis teavet päringu esitanud klientrakenduse (st brauseri) kohta. See päis aitab serveril mõista kliendi võimalusi ja piiranguid, võimaldades tal anda asjakohaseid vastuseid.
Oluline on märkida, et kuigi brauserid lisavad need päised vaikimisi, saab neid ka erinevate vahenditega muuta või eemaldada. Seda saab teha brauserilaiendite, puhverserverite või päringu otse manipuleerimisega programmeerimistehnikate abil. Seetõttu on ülioluline, et serveriadministraatorid rakendaksid sissetulevate päringute kinnitamiseks ja desinfitseerimiseks asjakohaseid turvameetmeid, olenemata nende päiste olemasolust.
Kui brauser esitab päringu kohalikule serverile, lisab see lisapäised, näiteks hosti ja päritolu päised. Hostipäis määrab päringu sihthosti, samas kui lähtepäis aitab kaitsta päritoluüleste rünnakute eest. Need päised mängivad veebirakenduste turvalisuse ja nõuetekohase toimimise tagamisel üliolulist rolli. Serveri administraatorid peaksid olema neist päistest teadlikud ja rakendama asjakohaseid turvameetmeid, et kinnitada ja desinfitseerida sissetulevaid päringuid.
Muud hiljutised küsimused ja vastused selle kohta EITC/IS/WASF veebirakenduste turvalisuse alused:
- Mis on metaandmete toomise päringu päised ja kuidas saab neid kasutada sama päritolu ja saidiüleste päringute eristamiseks?
- Kuidas vähendavad usaldusväärsed tüübid veebirakenduste rünnakupinda ja lihtsustavad turvaülevaateid?
- Mis on usaldusväärsete tüüpide vaikepoliitika eesmärk ja kuidas saab seda kasutada ebaturvaliste stringimäärangute tuvastamiseks?
- Mis on usaldusväärsete tüüpide objekti loomise protsess usaldusväärsete tüüpide API abil?
- Kuidas aitab usaldusväärsete tüüpide direktiiv sisu turbepoliitikas leevendada DOM-põhise saidiülese skriptimise (XSS) haavatavust?
- Mis on usaldusväärsed tüübid ja kuidas need lahendavad veebirakenduste DOM-põhiseid XSS-i haavatavusi?
- Kuidas saab sisuturbepoliitika (CSP) aidata leevendada saidiülese skriptimise (XSS) haavatavust?
- Mis on saidiülene päringu võltsimine (CSRF) ja kuidas saavad ründajad seda ära kasutada?
- Kuidas XSS-i haavatavus veebirakenduses kahjustab kasutajaandmeid?
- Millised on kaks peamist turvaaukude klassi, mida veebirakendustes tavaliselt leidub?
Vaadake rohkem küsimusi ja vastuseid jaotisest EITC/IS/WASF Web Applications Security Fundamentals