כאן אפשר לקרוא מידע נוסף על כותרות שיכולות לשמור על האבטחה של האתר שלכם ולעזור לכם למצוא במהירות את הפרטים הכי חשובים.
במאמר הזה מפורטים ראשי האבטחה הכי חשובים שבהם אפשר להשתמש כדי להגן על האתר. אפשר להשתמש בו כדי להבין את תכונות האבטחה שמבוססות על האינטרנט, ללמוד איך להטמיע אותן באתר שלכם, וכדי לקבל תזכורת כשצריך.
- כותרות אבטחה מומלצות לאתרים שמטפלים בנתונים רגישים של משתמשים:
- Content Security Policy (CSP)
- Trusted Types
- כותרות אבטחה מומלצות לכל האתרים:
- X-Content-Type-Options
- X-Frame-Options
- Cross-Origin Resource Policy (CORP)
- Cross-Origin Opener Policy (COOP)
- HTTP Strict Transport Security (HSTS)
- כותרות אבטחה לאתרים עם יכולות מתקדמות:
- שיתוף משאבים בין מקורות (CORS)
- Cross-Origin Embedder Policy (COEP)
לפני שמתעמקים בנושא כותרות אבטחה, כדאי לקרוא על איומים מוכרים באינטרנט ועל הסיבות לשימוש בכותרות האבטחה האלה.
הגנה על האתר מפני נקודות חולשה שמאפשרות הזרקת קוד
פרצות אבטחה מסוג הזרקה מתרחשות כשנתונים לא מהימנים שעוברים עיבוד באפליקציה יכולים להשפיע על ההתנהגות שלה, ולרוב מובילים להרצת סקריפטים שנשלטים על ידי תוקף. פרצת האבטחה הנפוצה ביותר שנגרמת על ידי באגים של הזרקה היא cross-site scripting (XSS) בצורות השונות שלה, כולל reflected XSS, stored XSS, DOM-based XSS וגרסאות אחרות.
פגיעות XSS יכולה בדרך כלל לתת לתוקף גישה מלאה לנתוני משתמשים שמעובדים על ידי האפליקציה ולכל מידע אחר שמתארח באותו מקור אינטרנט.
אמצעי הגנה מסורתיים מפני הזרקות כוללים שימוש עקבי במערכות תבניות HTML עם בריחה אוטומטית, הימנעות משימוש בממשקי API מסוכנים של JavaScript ועיבוד נכון של נתוני משתמשים על ידי אירוח העלאות של קבצים בדומיין נפרד וניקוי של HTML שנשלט על ידי המשתמש.
- כדי לצמצם את הסיכון להחדרת קוד, כדאי להשתמש במדיניות אבטחת תוכן (CSP) כדי לשלוט בסקריפטים שהאפליקציה יכולה להריץ.
- משתמשים בסוגים מהימנים כדי לאכוף חיטוי של נתונים שמועברים לממשקי API מסוכנים של JavaScript.
- כדי למנוע מהדפדפן לפרש לא נכון את סוגי ה-MIME של המשאבים באתר, מה שעלול להוביל להפעלת סקריפט, צריך להשתמש בX-Content-Type-Options.
בידוד האתר מאתרים אחרים
הפתיחות של האינטרנט מאפשרת לאתרים ליצור אינטראקציה זה עם זה בדרכים שיכולות להפר את ציפיות האבטחה של אפליקציה. זה כולל ביצוע לא צפוי של בקשות מאומתות או הטמעה של נתונים מאפליקציה אחרת במסמך של התוקף, מה שמאפשר לתוקף לשנות או לקרוא נתונים של האפליקציה.
בין נקודות החולשה הנפוצות שמערערות את הבידוד של אתרים: הונאת קליקים, גניבת זהות משתמש - Cross-Site Request Forgery (CSRF), הכללת סקריפט באתרים שונים (XSSI) ודליפות מידע באתרים שונים.
- כדי למנוע הטמעה של המסמכים שלכם באתר זדוני, צריך להשתמש ב-X-Frame-Options.
- כדי למנוע הכללה של משאבים מהאתר שלכם באתר ממקור אחר, צריך להשתמש במדיניות משאבים בין מקורות (CORP).
- כדאי להשתמש במדיניות של פתיחה ממקורות שונים (COOP) כדי להגן על החלונות של האתר מפני אינטראקציות עם אתרים זדוניים.
- אפשר להשתמש בשיתוף משאבים בין מקורות (CORS) כדי לשלוט בגישה למשאבים של האתר ממסמכים ממקורות שונים.
אם אתם מתעניינים בכותרות האלה, מומלץ לקרוא את המאמר Post-Spectre Web Development.
בניית אתר עוצמתי ומאובטח
Spectre מאפשר לקרוא נתונים שנטענו באותה קבוצת הקשר גלישה, למרות מדיניות זהה לגבי מקורות. דפדפנים מגבילים תכונות שעלולות לנצל את נקודת החולשה שמאחורי סביבה מיוחדת שנקראת בידוד בין מקורות. בעזרת בידוד בין מקורות שונים, אפשר להשתמש בתכונות מתקדמות כמו SharedArrayBuffer.
- כדי להפעיל בידוד ממקורות שונים, משתמשים במדיניות הטמעה ממקורות שונים (COEP) יחד עם COOP.
הצפנת התנועה לאתר
בעיות בהצפנה מופיעות כשאפליקציה לא מצפינה נתונים באופן מלא בזמן ההעברה, וכך מאפשרת לתוקפים שמאזינים לשיחות ללמוד על האינטראקציות של המשתמש עם האפליקציה.
הצפנה לא מספקת יכולה להתרחש במקרים הבאים: לא נעשה שימוש ב-HTTPS, יש תוכן מעורב, קובצי Cookie מוגדרים ללא המאפיין Secure(או הקידומת __Secure), או שיש לוגיקה רופפת של אימות CORS.
- משתמשים ב-HTTP Strict Transport Security (HSTS) כדי להציג את התוכן באופן עקבי דרך HTTPS.
Content Security Policy (CSP)
פרצת אבטחה XSS (cross-site scripting) היא מתקפה שבה נקודת חולשה באתר מאפשרת להחדיר ולהפעיל סקריפט זדוני.
Content-Security-Policy מספק שכבת הגנה נוספת לצמצום הסיכון למתקפות XSS על ידי הגבלת הסקריפטים שהדף יכול להריץ.
מומלץ להפעיל CSP מחמיר באחת מהדרכים הבאות:
- אם אתם מעבדים את דפי ה-HTML בשרת, צריך להשתמש ב-CSP מחמיר מבוסס-nonce.
- אם קובץ ה-HTML צריך להיות מוגש באופן סטטי או מאוחסן במטמון, למשל אם מדובר באפליקציה של דף יחיד, צריך להשתמש ב-CSP מחמיר מבוסס גיבוב (hash).
דוגמה לשימוש: CSP מבוסס-nonce
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
שימושים מומלצים
1. שימוש ב-CSP מחמיר שמבוסס על nonce {: #nonce-based-csp}
אם אתם מעבדים את דפי ה-HTML בשרת, צריך להשתמש ב-CSP מחמיר מבוסס-nonce.
יוצרים ערך חדש של nonce לסקריפט לכל בקשה בצד השרת ומגדירים את הכותרת הבאה:
קובץ תצורת השרת
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
כדי לטעון את הסקריפטים ב-HTML, צריך להגדיר את המאפיין nonce של כל התגים <script> לאותו מחרוזת {RANDOM1}.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>Google Photos היא דוגמה טובה ל-CSP מחמיר שמבוסס על nonce. כדי לראות איך משתמשים בו, אפשר להיעזר בכלי הפיתוח.
2. שימוש ב-CSP מחמיר שמבוסס על גיבוב {: #hash-based-csp}
אם קובץ ה-HTML שלכם צריך להיות מוגש באופן סטטי או להיטמן במטמון, למשל אם אתם בונים אפליקציה חד-דף, אתם צריכים להשתמש במדיניות CSP מחמירה שמבוססת על גיבוב (hash).
קובץ תצורת השרת
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
ב-HTML, צריך להוסיף את הסקריפטים בשורה כדי להחיל מדיניות מבוססת-גיבוב, כי רוב הדפדפנים לא תומכים בגיבוב של סקריפטים חיצוניים.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
כדי לטעון סקריפטים חיצוניים, קוראים את הקטע 'טעינה דינמית של סקריפטים ממקורות' בקטע אפשרות ב': כותרת תגובה של CSP מבוססת-גיבוב.
CSP Evaluator הוא כלי טוב להערכת ה-CSP, וגם דוגמה טובה ל-CSP מחמיר שמבוסס על צופן חד פעמי. כדי לראות איך משתמשים בו, אפשר להיעזר בכלי הפיתוח.
דפדפנים נתמכים
הערות נוספות לגבי CSP
-
frame-ancestorsההוראה מגינה על האתר מפני הונאת קליקים – סיכון שמתעורר אם מאפשרים לאתרים לא מהימנים להטמיע את האתר שלכם. אם אתם מעדיפים פתרון פשוט יותר, אתם יכולים להשתמש ב-X-Frame-Optionsכדי לחסום את הטעינה, אבלframe-ancestorsמאפשר לכם להגדיר הגדרה מתקדמת כדי לאפשר רק למקורות ספציפיים להטמיע את התוכן. - יכול להיות שהשתמשתם ב-CSP כדי לוודא שכל המשאבים באתר נטענים באמצעות HTTPS. השיטה הזו פחות רלוונטית היום כי רוב הדפדפנים חוסמים תוכן מעורב.
- אפשר גם להגדיר CSP במצב דיווח בלבד.
- אם אי אפשר להגדיר CSP ככותרת בצד השרת, אפשר גם להגדיר אותו כמטא תג. שימו לב שאי אפשר להשתמש במצב דיווח בלבד לתגי מטא (אבל יכול להיות שזה ישתנה).
מידע נוסף
סוגים מהימנים
XSS מבוסס-DOM הוא מתקפה שבה נתונים זדוניים מועברים ל-sink שתומך בהרצת קוד דינמי, כמו eval() או .innerHTML.
Trusted Types מספקת את הכלים לכתיבה, לבדיקת אבטחה ולתחזוקה של אפליקציות ללא פרצות אבטחה מסוג DOM XSS. אפשר להפעיל אותם דרך CSP, והם מאבטחים את קוד JavaScript כברירת מחדל על ידי הגבלת ממשקי API מסוכנים באינטרנט כך שיקבלו רק אובייקט מיוחד – סוג מהימן.
כדי ליצור את האובייקטים האלה, אפשר להגדיר מדיניות אבטחה שבה אפשר לוודא שכללי אבטחה (כמו ביטול בריחה או ניקוי) מוחלים באופן עקבי לפני שהנתונים נכתבים ב-DOM. לכן, המדיניות הזו היא המקום היחיד בקוד שבו עלולות להיות בעיות של DOM XSS.
שימושים לדוגמה
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
שימושים מומלצים
-
החלת Trusted Types על יעד DOM מסוכן כותרת CSP ו-Trusted Types:
Content-Security-Policy: require-trusted-types-for 'script'כרגע, הערך הקביל היחיד להנחיית
require-trusted-types-forהוא'script'.כמובן שאפשר לשלב סוגים מהימנים עם הנחיות אחרות של CSP:
מיזוג של CSP מבוסס-nonce מהדוגמה שלמעלה עם Trusted Types:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>הערה: </b> אפשר להגביל את שמות המדיניות המותרים של סוגים מהימנים על ידי הגדרת הנחיה נוספת של <code>trusted-types</code> (לדוגמה, <code>trusted-types myPolicy</code>). עם זאת, זה לא חובה.</aside> </aside>
-
הגדרת מדיניות
מדיניות:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
-
החלת המדיניות
שימוש במדיניות כשכותבים נתונים ל-DOM:
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
ב-
require-trusted-types-for 'script', חובה להשתמש בסוג מהימן. שימוש במחרוזת עם כל API מסוכן של DOM יגרום לשגיאה.
דפדפנים נתמכים
מידע נוסף
- מניעת פרצות אבטחה מסוג XSS (cross-site scripting) מבוסס-DOM באמצעות Trusted Types
- CSP: require-trusted-types-for - HTTP | MDN
- CSP: trusted-types - HTTP | MDN
- הדגמה של סוגים מהימנים – פותחים את כלי הבדיקה של כלי הפיתוח ורואים מה קורה
X-Content-Type-Options
כשמסמך HTML זדוני מוגש מהדומיין שלכם (לדוגמה, אם תמונה שהועלתה לשירות תמונות מכילה תגי עיצוב HTML תקינים), דפדפנים מסוימים יתייחסו אליו כמסמך פעיל ויאפשרו לו להריץ סקריפטים בהקשר של האפליקציה, מה שיוביל לפרצת אבטחה XSS (cross-site scripting).
X-Content-Type-Options: nosniff מונע את זה על ידי הנחיה לדפדפן שסוג ה-MIME שמוגדר בכותרת Content-Type לתגובה מסוימת הוא נכון. מומלץ להשתמש בכותרת הזו לכל המשאבים.
דוגמה לשימוש
X-Content-Type-Options: nosniff
שימושים מומלצים
מומלץ להשתמש ב-X-Content-Type-Options: nosniff לכל המשאבים שמוצגים מהשרת שלכם, יחד עם הכותרת הנכונה Content-Type.
דוגמה לכותרות שנשלחו עם מסמך HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
דפדפנים נתמכים
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
מידע נוסף
X-Frame-Options
אם אתר זדוני יכול להטמיע את האתר שלכם כ-iframe, יכול להיות שהתוקפים יוכלו להפעיל פעולות לא מכוונות על ידי המשתמש באמצעות הונאת קליקים. בנוסף, במקרים מסוימים מתקפות מסוג Spectre מאפשרות לאתרים זדוניים ללמוד על התוכן של מסמך מוטמע.
X-Frame-Options מציין אם דפדפן צריך לקבל אישור להצגת דף ב-<frame>, <iframe>, <embed> או <object>. מומלץ לשלוח את הכותרת הזו לכל המסמכים כדי לציין אם הם מאפשרים הטמעה במסמכים אחרים.
דוגמה לשימוש
X-Frame-Options: DENY
שימושים מומלצים
בכל המסמכים שלא מיועדים להטמעה צריך להשתמש בכותרת X-Frame-Options.
אתם יכולים לנסות איך ההגדרות הבאות משפיעות על טעינת iframe בהדגמה הזו. משנים את התפריט הנפתח X-Frame-Options
ולוחצים על הלחצן טעינה מחדש של ה-iframe.
הגנה על האתר מפני הטמעה באתרים אחרים
למנוע הטמעה במסמכים אחרים.
X-Frame-Options: DENYהגנה על האתר מפני הטמעה על ידי אתרים ממקורות שונים
ההרשאה להטמעה ניתנת רק למסמכים מאותו מקור.
X-Frame-Options: SAMEORIGINדפדפנים נתמכים
מידע נוסף
מדיניות משאבים ממקורות שונים (CORP)
תוקף יכול להטמיע משאבים ממקור אחר, למשל מהאתר שלכם, כדי לחשוף מידע עליהם על ידי ניצול דליפות חוצות אתרים באינטרנט.
Cross-Origin-Resource-Policy מצמצם את הסיכון הזה על ידי ציון קבוצת האתרים שמהם אפשר לטעון אותו. הכותרת מקבלת אחד משלושת הערכים הבאים: same-origin, same-site ו-cross-origin. מומלץ לשלוח את הכותרת הזו לכל המשאבים כדי לציין אם הם מאפשרים טעינה על ידי אתרים אחרים.
דוגמה לשימוש
Cross-Origin-Resource-Policy: same-origin
שימושים מומלצים
מומלץ להציג את כל המשאבים עם אחת משלוש הכותרות הבאות.
כדי לראות איך ההגדרות הבאות משפיעות על טעינת משאבים בסביבת Cross-Origin-Embedder-Policy: require-corp, אפשר לנסות את ההדגמה הזו. משנים את התפריט הנפתח Cross-Origin-Resource-Policy ולוחצים על הכפתור Reload the iframe או Reload the image כדי לראות את האפקט.
התרת טעינת משאבים cross-origin
מומלץ ששירותים כמו CDN יחילו cross-origin על משאבים (כי בדרך כלל הם נטענים על ידי דפים ממקורות שונים), אלא אם הם כבר מוגשים דרך CORS, שיש לו השפעה דומה.
Cross-Origin-Resource-Policy: cross-originהגבלת המשאבים שנטענים מ-same-origin
צריך להחיל את same-origin על משאבים שמיועדים לטעינה רק על ידי דפים מאותו מקור. צריך להחיל את ההגדרות האלה על משאבים שכוללים מידע רגיש על המשתמש, או על תגובות של API שמיועד לקריאה רק מאותו מקור.
חשוב לזכור שעדיין אפשר לטעון ישירות משאבים עם הכותרת הזו, למשל על ידי ניווט לכתובת ה-URL בחלון חדש של הדפדפן. מדיניות שיתוף משאבים בין מקורות (CORS) מגנה רק על המשאב מפני הטמעה באתרים אחרים.
Cross-Origin-Resource-Policy: same-originהגבלת המשאבים שנטענים מ-same-site
מומלץ להחיל את same-site על משאבים שדומים לאלה שלמעלה, אבל מיועדים לטעינה על ידי תת-דומיינים אחרים באתר.
Cross-Origin-Resource-Policy: same-siteדפדפנים נתמכים
מידע נוסף
מדיניות פותחן מרובת מקורות (COOP)
אתר של תוקף יכול לפתוח אתר אחר בחלון קופץ כדי לקבל מידע עליו על ידי ניצול דליפות חוצות אתרים באינטרנט. במקרים מסוימים, זה יכול גם לאפשר ניצול של מתקפות בערוץ צדדי שמבוססות על Spectre.
הכותרת Cross-Origin-Opener-Policy מאפשרת למסמך לבודד את עצמו מחלונות ממקורות שונים שנפתחו דרך window.open() או קישור עם target="_blank" בלי rel="noopener". כתוצאה מכך, לכל חלון קופץ שייפתח ממקור אחר לא תהיה הפניה למסמך, ולא תהיה לו אפשרות ליצור איתו אינטראקציה.
דוגמה לשימוש
Cross-Origin-Opener-Policy: same-origin-allow-popups
שימושים מומלצים
אפשר לנסות את ההגדרות הבאות כדי לראות איך הן משפיעות על התקשורת עם חלון קופץ חוצה-מקורות בהדגמה הזו. משנים את התפריט הנפתח Cross-Origin-Opener-Policy (מדיניות פתיחה חוצת מקורות) גם במסמך וגם בחלון הקופץ, לוחצים על הלחצן Open a popup (פתיחת חלון קופץ) ואז על Send a postMessage (שליחת הודעה) כדי לבדוק אם ההודעה באמת נמסרה.
בידוד מסמך מחלונות חוצי-מקורות
ההגדרה same-origin מבודדת את המסמך מחלונות מסמכים ממקורות שונים.
Cross-Origin-Opener-Policy: same-originבידוד מסמך מחלונות ממקורות שונים, אבל מתן אפשרות להצגת חלונות קופצים
ההגדרה same-origin-allow-popups מאפשרת למסמך לשמור הפניה לחלונות הקופצים שלו, אלא אם הם מגדירים COOP עם same-origin או same-origin-allow-popups. כלומר, same-origin-allow-popups עדיין יכול להגן על המסמך מפני הפניה אליו כשהוא נפתח כחלון קופץ, אבל לאפשר לו לתקשר עם החלונות הקופצים שלו.
Cross-Origin-Opener-Policy: same-origin-allow-popupsאפשר להפנות למסמך מחלונות חוצי-מקורות
unsafe-none הוא ערך ברירת המחדל, אבל אפשר לציין במפורש שאפשר לפתוח את המסמך הזה בחלון ממקור אחר ולשמור על גישה הדדית.
Cross-Origin-Opener-Policy: unsafe-noneדפוסי דיווח שלא תואמים ל-COOP
אתם יכולים לקבל דוחות כשהמדיניות COOP מונעת אינטראקציות בין חלונות עם Reporting API.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"בנוסף, COOP תומך במצב דיווח בלבד, כך שתוכלו לקבל דוחות בלי לחסום בפועל את התקשורת בין מסמכים ממקורות שונים.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"דפדפנים נתמכים
מידע נוסף
שיתוף משאבים בין מקורות (CORS)
בניגוד לפריטים אחרים במאמר הזה, שיתוף משאבים בין מקורות (CORS) הוא לא כותרת, אלא מנגנון בדפדפן שמבקש ומאפשר גישה למשאבים ממקורות שונים.
כברירת מחדל, הדפדפנים אוכפים את מדיניות המקור הזהה כדי למנוע מדף אינטרנט לגשת למשאבים ממקורות שונים. לדוגמה, כשנטענת תמונה ממקורות שונים, למרות שהיא מוצגת בדף האינטרנט, ל-JavaScript בדף אין גישה לנתונים של התמונה. ספק המשאבים יכול להקל על ההגבלות ולאפשר לאתרים אחרים לקרוא את המשאב באמצעות הבעת הסכמה ל-CORS.
דוגמה לשימוש
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
לפני שמתחילים להגדיר CORS, כדאי להבין את ההבדל בין סוגי הבקשות. בהתאם לפרטי הבקשה, היא תסווג כבקשה פשוטה או כבקשה עם בדיקה מקדימה.
קריטריונים לבקשה פשוטה:
- השיטה היא
GET,HEADאוPOST. - הכותרות המותאמות אישית כוללות רק את
Accept,Accept-Language,Content-Languageו-Content-Type. - הערך בעמודה
Content-Typeהואapplication/x-www-form-urlencoded, multipart/form-dataאוtext/plain.
כל השאר מסווג כבקשה עם בדיקת היתכנות. פרטים נוספים זמינים במאמר שיתוף משאבים בין מקורות (CORS) – HTTP | MDN.
שימושים מומלצים
בקשה פשוטה
כשבקשה עומדת בקריטריונים של בקשה פשוטה, הדפדפן שולח בקשת CORS עם כותרת Origin שמציינת את המקור של הבקשה.
דוגמה לכותרת הבקשה
Get / HTTP/1.1 Origin: https://example.com
כותרת תגובה לדוגמה
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
-
Access-Control-Allow-Origin: https://example.comמציין ש-https://example.comיכול לגשת לתוכן התשובה. משאבים שנועדו להיות קריאים לכל אתר יכולים להגדיר את הכותרת הזו לערך*. במקרה כזה, הדפדפן ידרוש שהבקשה תתבצע ללא פרטי כניסה. - הערך
Access-Control-Allow-Credentials: trueמציין שבקשות שכוללות פרטי כניסה (קובצי Cookie) יכולות לטעון את המשאב. אחרת, בקשות מאומתות יידחו גם אם המקור של הבקשה מופיע בכותרתAccess-Control-Allow-Origin.
אתם יכולים לנסות איך הבקשה הפשוטה משפיעה על טעינת משאבים בסביבת Cross-Origin-Embedder-Policy: require-corp הדגמה הזו. מסמנים את התיבה שיתוף משאבים בין מקורות ולוחצים על הלחצן Reload the image כדי לראות את האפקט.
בקשות עם בדיקה מקדימה
לפני בקשת קדם-הפעלה נשלחת בקשת OPTIONS כדי לבדוק אם מותר לשלוח את הבקשה הבאה.
דוגמה לכותרת הבקשה
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
-
Access-Control-Request-Method: POSTמאפשרת לשלוח את הבקשה הבאה באמצעות שיטתPOST. -
Access-Control-Request-Headers: X-PINGOTHER, Content-Typeמאפשר למגיש הבקשה להגדיר את כותרות ה-HTTPX-PINGOTHERו-Content-Typeבבקשה הבאה.
כותרות של תגובות לדוגמה
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
- התגובה
Access-Control-Allow-Methods: POST, GET, OPTIONSמציינת שאפשר לשלוח בקשות נוספות באמצעות השיטותPOST,GETו-OPTIONS. -
Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeמציין שבבקשות הבאות אפשר לכלול את הכותרותX-PINGOTHERו-Content-Type. -
Access-Control-Max-Age: 86400מציין שאפשר לשמור במטמון את התוצאה של בקשת preflight למשך 86,400 שניות.
דפדפנים נתמכים
מידע נוסף
מדיניות כלי להטמעה ממקורות שונים (COEP)
כדי לצמצם את היכולת של מתקפות מבוססות Spectre לגנוב משאבים ממקורות שונים, תכונות כמו SharedArrayBuffer או performance.measureUserAgentSpecificMemory() מושבתות כברירת מחדל.
Cross-Origin-Embedder-Policy: require-corp מונעת טעינה של מסמכים ועובדים של משאבים ממקורות שונים, כמו תמונות, סקריפטים, גיליונות סגנונות, מסגרות iframe ועוד, אלא אם המשאבים האלה מאשרים באופן מפורש את הטעינה שלהם באמצעות כותרות CORS או CORP. אפשר לשלב את COEP עםCross-Origin-Opener-Policy
כדי להפעיל בידוד ממקורות שונים במסמך.
משתמשים ב-Cross-Origin-Embedder-Policy: require-corp כשרוצים להפעיל חסימה לגישה מדומיינים אחרים למסמך.
דוגמה לשימוש
Cross-Origin-Embedder-Policy: require-corp
דוגמאות לשימוש
הערך היחיד ש-COEP מקבל הוא require-corp. כששולחים את הכותרת הזו, אפשר להנחות את הדפדפן לחסום טעינה של משאבים שלא הביעו הסכמה באמצעות CORS או CORP.
כדי לראות איך ההגדרות הבאות משפיעות על טעינת המשאבים, אפשר לנסות את ההדגמה הזו. משנים את התפריט הנפתח Cross-Origin-Embedder-Policy, את התפריט הנפתח Cross-Origin-Resource-Policy, את תיבת הסימון Report Only וכו', כדי לראות איך הם משפיעים על טעינת המשאבים. בנוסף, כדאי לפתוח את הדמו של נקודת הקצה של הדיווח כדי לבדוק אם המשאבים החסומים מדווחים.
הפעלת בידוד חוצה-דומיינים
כדי להפעיל בידוד מרובה מקורות, שולחים את
Cross-Origin-Embedder-Policy: require-corp יחד עם
Cross-Origin-Opener-Policy: same-origin.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
דיווח על משאבים שלא תואמים ל-COEP
אפשר לקבל דוחות על משאבים חסומים שנגרמו על ידי COEP באמצעות Reporting API.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"בנוסף, COEP תומך במצב דיווח בלבד, כך שתוכלו לקבל דוחות בלי לחסום את טעינת המשאבים.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"דפדפנים נתמכים
מידע נוסף
HTTP Strict Transport Security (HSTS)
התקשורת באמצעות חיבור HTTP רגיל לא מוצפנת, ולכן נתונים שמועברים דרך חיבור כזה חשופים להאזנה בשכבת הרשת.
הכותרת Strict-Transport-Security מודיעה לדפדפן שאסור לו לטעון את האתר באמצעות HTTP, ועליו להשתמש ב-HTTPS במקום זאת. אחרי שהיא מוגדרת, הדפדפן ישתמש ב-HTTPS במקום ב-HTTP כדי לגשת לדומיין בלי הפניה אוטומטית למשך הזמן שמוגדר בכותרת.
דוגמה לשימוש
Strict-Transport-Security: max-age=31536000
שימושים מומלצים
כל האתרים שעוברים מ-HTTP ל-HTTPS צריכים להגיב עם כותרת Strict-Transport-Security כשמתקבלת בקשה עם HTTP.
Strict-Transport-Security: max-age=31536000דפדפנים נתמכים