تعرَّف على مزيد من المعلومات عن العناوين التي يمكن أن تحافظ على أمان موقعك الإلكتروني وتتيح لك البحث بسرعة عن التفاصيل الأكثر أهمية.
تدرج هذه المقالة أهم عناوين الأمان التي يمكنك استخدامها لحماية موقعك الإلكتروني. يمكنك استخدامها للتعرّف على ميزات الأمان المستندة إلى الويب، ومعرفة كيفية تنفيذها على موقعك الإلكتروني، والاستعانة بها كمرجع عندما تحتاج إلى تذكير.
- عناوين الأمان المقترَحة للمواقع الإلكترونية التي تعالج بيانات المستخدمين الحسّاسة:
- سياسة أمان المحتوى (CSP)
- أنواع موثوق بها
- عناوين الأمان المقترَحة لجميع المواقع الإلكترونية:
- X-Content-Type-Options
- X-Frame-Options
- سياسة مشاركة الموارد مع مواقع متعدّدة (CORP)
- سياسة فتح النوافذ من مصادر متعددة (COOP)
- الأمان المشدَّد لنقل البيانات باستخدام بروتوكول HTTP (HSTS)
- عناوين الأمان للمواقع الإلكترونية التي تتضمّن إمكانات متقدّمة:
- مشاركة المراجع مع نطاقات خارجية (CORS)
- سياسة أداة تضمين المحتوى من مصادر خارجية (COEP)
قبل التعرّف على عناوين الأمان، اطّلِع على التهديدات المعروفة على الويب والأسباب التي تدفعك إلى استخدام عناوين الأمان هذه.
حماية موقعك الإلكتروني من الثغرات الأمنية المتعلقة بالحقن
تحدث ثغرات الحقن عندما تؤثر البيانات غير الموثوق بها التي يعالجها تطبيقك في سلوكه، وتؤدي عادةً إلى تنفيذ نصوص برمجية يتحكّم فيها المهاجم. إنّ الثغرة الأمنية الأكثر شيوعًا التي تسببها أخطاء الحقن هي هجمة النصوص البرمجية على المواقع الإلكترونية (XSS) بأشكالها المختلفة، بما في ذلك هجمة XSS المنعكسة وهجمة XSS المخزّنة وهجمة XSS المستنِدة إلى DOM وغيرها من الأنواع.
يمكن أن تمنح ثغرة XSS عادةً المهاجم إذن الوصول الكامل إلى بيانات المستخدمين التي يعالجها التطبيق وأي معلومات أخرى مستضافة في مصدر الويب نفسه.
تشمل وسائل الحماية التقليدية من عمليات الحقن الاستخدام المتّسق لأنظمة نماذج HTML التي يتم فيها تفعيل الهروب التلقائي، وتجنُّب استخدام واجهات برمجة تطبيقات JavaScript الخطيرة، ومعالجة بيانات المستخدمين بشكل سليم من خلال استضافة عمليات تحميل الملفات في نطاق منفصل وتنظيف HTML الذي يتحكّم فيه المستخدم.
- استخدِم سياسة أمان المحتوى (CSP) للتحكّم في النصوص البرمجية التي يمكن أن ينفّذها تطبيقك من أجل الحدّ من خطر عمليات الحقن.
- استخدِم Trusted Types لفرض تنظيف البيانات التي يتم تمريرها إلى واجهات برمجة تطبيقات JavaScript الخطيرة.
- استخدِم X-Content-Type-Options لمنع المتصفّح من إساءة تفسير أنواع MIME لموارد موقعك الإلكتروني، ما قد يؤدي إلى تنفيذ النصوص البرمجية.
عزل موقعك الإلكتروني عن المواقع الإلكترونية الأخرى
تتيح طبيعة الويب المفتوحة للمواقع الإلكترونية التفاعل مع بعضها البعض بطرق قد تنتهك توقعات الأمان الخاصة بأحد التطبيقات. ويشمل ذلك تقديم طلبات مصادقة بشكل غير متوقّع أو تضمين بيانات من تطبيق آخر في مستند المهاجم، ما يسمح للمهاجم بتعديل بيانات التطبيق أو قراءتها.
تشمل الثغرات الأمنية الشائعة التي تقوّض عزل المواقع الإلكترونية هجمات النقر وتزوير الطلبات من مواقع إلكترونية مختلفة (CSRF) وإدراج البرنامج النصي على مواقع إلكترونية مختلفة (XSSI) وعمليات تسريب البيانات على مواقع إلكترونية مختلفة.
- استخدِم X-Frame-Options لمنع موقع إلكتروني ضار من تضمين مستنداتك.
- استخدِم سياسة مشاركة الموارد المشتركة المنشأ (CORP) لمنع تضمين موارد موقعك الإلكتروني في موقع إلكتروني آخر مشترك المنشأ.
- استخدِم سياسة Cross-Origin Opener Policy (COOP) لحماية نوافذ موقعك الإلكتروني من التفاعلات التي تجريها المواقع الإلكترونية الضارة.
- استخدِم مشاركة المراجع مع نطاقات خارجية (CORS) للتحكّم في إمكانية الوصول إلى موارد موقعك الإلكتروني من المستندات المتعدّدة المصادر.
Post-Spectre Web Development هو مقال رائع إذا كنت مهتمًا بهذه العناوين.
إنشاء موقع إلكتروني قوي وآمن
تضع ثغرة Spectre أي بيانات يتم تحميلها في مجموعة سياق التصفّح نفسها التي يمكن قراءتها، وذلك على الرغم من سياسة المصدر نفسه. تحظر المتصفحات الميزات التي قد تستغل الثغرة الأمنية في بيئة خاصة تُعرف باسم العزل بين المصادر المختلفة. باستخدام ميزة "العزل بين المصادر"، يمكنك الاستفادة من ميزات فعّالة مثل SharedArrayBuffer.
- استخدِم سياسة أداة تضمين المحتوى من مصادر خارجية (COEP) مع سياسة COOP لتفعيل عزل المحتوى من مصادر خارجية.
تشفير الزيارات إلى موقعك الإلكتروني
تظهر مشاكل التشفير عندما لا يشفّر التطبيق البيانات بالكامل أثناء نقلها، ما يسمح للمهاجمين بالتنصّت على تفاعلات المستخدم مع التطبيق.
يمكن أن يحدث تشفير غير كافٍ في الحالات التالية: عدم استخدام HTTPS، أو المحتوى المختلط، أو ضبط ملفات تعريف الارتباط بدون السمة Secure (أو البادئة __Secure)، أو منطق التحقّق من CORS غير الصارم.
- استخدِم الأمان المشدَّد لنقل البيانات باستخدام بروتوكول HTTP (HSTS) لعرض محتواك بشكل متسق من خلال HTTPS.
سياسة أمان المحتوى (CSP)
هجوم البرمجة عبر المواقع الإلكترونية (XSS) هو هجوم يسمح فيه وجود ثغرة أمنية في موقع إلكتروني بحقن برنامج نصي ضار وتنفيذه.
توفّر Content-Security-Policy طبقة إضافية للحدّ من هجمات البرمجة عبر المواقع من خلال تقييد البرامج النصية التي يمكن للصفحة تنفيذها.
ننصحك بتفعيل سياسة CSP الصارمة باستخدام إحدى الطرق التالية:
- إذا كنت تعرض صفحات HTML على الخادم، استخدِم سياسة صارمة لأمان المحتوى تستند إلى أرقام الاستخدام لمرة واحدة.
- إذا كان يجب عرض رمز HTML بشكل ثابت أو تخزينه مؤقتًا، مثلاً إذا كان تطبيقًا من صفحة واحدة، استخدِم سياسة أمان محتوى صارمة تستند إلى التجزئة.
مثال على الاستخدام: سياسة أمان محتوى مستندة إلى أرقام الاستخدام لمرة واحدة
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
الاستخدامات المقترَحة
1. استخدام سياسة CSP صارمة تستند إلى أرقام الاستخدام لمرة واحدة {: #nonce-based-csp}
إذا كنت تعرض صفحات HTML على الخادم، استخدِم سياسة صارمة لأمان المحتوى تستند إلى أرقام الاستخدام لمرة واحدة.
أنشئ قيمة جديدة لرقم خاص للنص البرمجي لكل طلب على جهة الخادم واضبط العنوان التالي:
ملف إعدادات الخادم
Content-Security-Policy: script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
في HTML، من أجل تحميل النصوص البرمجية، اضبط السمة nonce لجميع علامات <script> على سلسلة {RANDOM1} نفسها.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>صور Google هي مثال جيد على سياسة CSP صارمة تستند إلى أرقام عشوائية. استخدِم "أدوات مطوّري البرامج" لمعرفة طريقة استخدامها.
2. استخدام سياسة CSP صارمة مستندة إلى التجزئة {: #hash-based-csp}
إذا كان يجب عرض رمز HTML بشكل ثابت أو تخزينه مؤقتًا، مثلاً إذا كنت بصدد إنشاء تطبيق من صفحة واحدة، استخدِم سياسة CSP صارمة مستندة إلى التجزئة.
ملف إعدادات الخادم
Content-Security-Policy: script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline'; object-src 'none'; base-uri 'none';
في HTML، عليك تضمين النصوص البرمجية في السطر نفسه لتطبيق سياسة مستندة إلى التجزئة، لأنّ معظم المتصفّحات لا تتيح تجزئة النصوص البرمجية الخارجية.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
لتحميل نصوص برمجية خارجية، اطّلِع على "تحميل النصوص البرمجية المستندة إلى المصدر بشكل ديناميكي" ضمن القسم الخيار ب: عنوان استجابة سياسة أمان المحتوى (CSP) المستند إلى التجزئة.
CSP Evaluator هي أداة جيدة لتقييم "سياسة أمان المحتوى"، وهي في الوقت نفسه مثال جيد على "سياسة أمان المحتوى" الصارمة المستندة إلى الرقم الخاص. استخدِم "أدوات مطوّري البرامج" لمعرفة طريقة استخدامها.
المتصفّحات المتوافقة
ملاحظات أخرى حول سياسة أمان المحتوى
- تحمي توجيهات
frame-ancestorsموقعك الإلكتروني من هجمات النقر، وهي خطر ينشأ إذا سمحت للمواقع الإلكترونية غير الموثوق بها بتضمين موقعك. إذا كنت تفضّل حلاً أبسط، يمكنك استخدامX-Frame-Optionsلمنع التحميل، ولكن يتيح لكframe-ancestorsإعدادًا متقدّمًا للسماح فقط بمصادر معيّنة كمضمّنين. - ربما استخدمت سياسة أمان المحتوى (CSP) للتأكّد من أنّ جميع موارد موقعك الإلكتروني يتم تحميلها عبر HTTPS. وقد أصبح هذا الإجراء أقل أهمية، لأنّ معظم المتصفّحات تحظر حاليًا المحتوى المختلط.
- يمكنك أيضًا ضبط سياسة CSP في وضع إعداد التقارير فقط.
- إذا لم تتمكّن من ضبط سياسة أمان المحتوى (CSP) كعنوان على جهة الخادم، يمكنك أيضًا ضبطها كعلامة وصفية. يُرجى العِلم أنّه لا يمكنك استخدام وضع الإبلاغ فقط للعلامات الوصفية (مع أنّ هذا قد يتغيّر).
مزيد من المعلومات
Trusted Types
هجمات البرمجة النصية على المواقع الإلكترونية (XSS) المستندة إلى نموذج المستند (DOM) هي هجمات يتم فيها تمرير بيانات ضارة إلى مصدر يقبل تنفيذ الرموز الديناميكية، مثل eval() أو .innerHTML.
توفّر Trusted Types الأدوات اللازمة لكتابة التطبيقات ومراجعتها من ناحية الأمان وصيانتها بدون التعرّض لهجمات XSS المستنِدة إلى DOM. ويمكن تفعيلها من خلال سياسة أمان المحتوى (CSP)، ما يجعل رمز JavaScript آمنًا تلقائيًا من خلال حصر واجهات برمجة تطبيقات الويب الخطيرة على قبول كائن خاص فقط، وهو Trusted Type.
لإنشاء هذه العناصر، يمكنك تحديد سياسات أمان تضمن تطبيق قواعد الأمان (مثل الهروب أو التنظيف) بشكل متّسق قبل كتابة البيانات في نموذج المستند (DOM). وبالتالي، تصبح هذه السياسات هي الأماكن الوحيدة في الرمز التي يمكن أن تؤدي إلى حدوث ثغرة DOM XSS.
أمثلة على الاستخدام
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
الاستخدامات المقترَحة
-
فرض استخدام Trusted Types لمصادر DOM الخطيرة عنوان CSP وTrusted Types:
Content-Security-Policy: require-trusted-types-for 'script'في الوقت الحالي،
'script'هي القيمة الوحيدة المقبولة لتوجيهrequire-trusted-types-for.بالطبع، يمكنك الجمع بين Trusted Types وتوجيهات أخرى في سياسة أمان المحتوى:
دمج سياسة CSP المستندة إلى nonce من الأعلى مع Trusted Types:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>ملاحظة: </b> يمكنك حصر أسماء سياسات Trusted Types المسموح بها من خلال ضبط توجيه <code>trusted-types</code> إضافي (على سبيل المثال، <code>trusted-types myPolicy</code>)، ولكن هذا ليس شرطًا. </aside>
-
تحديد سياسة
السياسة:
// Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => { return str.replace(/\/g, '>'); } }); }
-
تطبيق السياسة
استخدام السياسة عند كتابة البيانات في نموذج المستند (DOM):
// Assignment of raw strings are blocked by Trusted Types. el.innerHTML = 'some string'; // This throws an exception.</p> <p>// Assignment of Trusted Types is accepted safely. const escaped = policy.createHTML('<img src="x" onerror="alert(1)">'); el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
باستخدام
require-trusted-types-for 'script'، يصبح استخدام نوع موثوق به شرطًا أساسيًا. سيؤدي استخدام أي واجهة برمجة تطبيقات DOM خطيرة مع سلسلة إلى حدوث خطأ.
المتصفّحات المتوافقة
مزيد من المعلومات
- منع ثغرات النصوص البرمجية عبر المواقع الإلكترونية المستنِدة إلى DOM باستخدام Trusted Types
- CSP: require-trusted-types-for - HTTP | MDN
- CSP: trusted-types - HTTP | MDN
- العرض التوضيحي لـ Trusted Types: افتح "أداة الفحص" في "أدوات مطوّري البرامج" واطّلِع على ما يحدث
X-Content-Type-Options
عندما يتم عرض مستند HTML ضار من نطاقك (على سبيل المثال، إذا كانت صورة تم تحميلها إلى خدمة صور تحتوي على ترميز HTML صالح)، ستتعامل بعض المتصفحات معها كمستند نشط وتسمح بتنفيذ النصوص البرمجية في سياق التطبيق، ما يؤدي إلى خطأ في البرمجة النصية على مستوى المواقع الإلكترونية.
تمنع X-Content-Type-Options: nosniff ذلك من خلال توجيه المتصفّح إلى أنّ نوع MIME الذي تم ضبطه في العنوان Content-Type لاستجابة معيّنة صحيح. يُنصح باستخدام هذا العنوان لكل مواردك.
مثال على الاستخدام
X-Content-Type-Options: nosniff
الاستخدامات المقترَحة
ننصح باستخدام X-Content-Type-Options: nosniff لجميع الموارد التي يتم عرضها من خادمك، بالإضافة إلى عنوان Content-Type الصحيح.
أمثلة على العناوين التي يتم إرسالها مع مستند HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
المتصفّحات المتوافقة
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
مزيد من المعلومات
X-Frame-Options
إذا كان بإمكان موقع إلكتروني ضار تضمين موقعك الإلكتروني كإطار iframe، قد يتيح ذلك للمهاجمين تنفيذ إجراءات غير مقصودة من قِبل المستخدم من خلال الاستيلاء على النقرات. بالإضافة إلى ذلك، تتيح هجمات من نوع Spectre في بعض الحالات للمواقع الإلكترونية الضارة معرفة محتوى مستند مضمّن.
تحدّد السمة X-Frame-Options ما إذا كان يجب السماح للمتصفّح بعرض صفحة في <frame> أو <iframe> أو <embed> أو <object>. يُنصح بإرسال هذا العنوان مع جميع المستندات
للإشارة إلى ما إذا كانت تسمح بتضمينها في مستندات أخرى.
مثال على الاستخدام
X-Frame-Options: DENY
الاستخدامات المقترَحة
يجب أن تستخدم جميع المستندات غير المصمَّمة ليتم تضمينها العنوان X-Frame-Options.
يمكنك تجربة تأثير الإعدادات التالية في تحميل إطار iframe على هذا العرض التوضيحي. غيِّر القائمة المنسدلة X-Frame-Options
وانقر على الزر إعادة تحميل الإطار iframe.
يحمي موقعك الإلكتروني من أن يتم تضمينه في أي مواقع إلكترونية أخرى
رفض تضمينها في أي مستندات أخرى
X-Frame-Options: DENYيحمي موقعك الإلكتروني من أن يتم تضمينه في أي مواقع إلكترونية من نطاق آخر
السماح بالتضمين فقط من خلال المستندات من المصدر نفسه
X-Frame-Options: SAMEORIGINالمتصفّحات المتوافقة
مزيد من المعلومات
سياسة مشاركة الموارد عبر المصادر الخاصة بالموقع الإلكتروني (CORP)
يمكن للمهاجم تضمين موارد من مصدر آخر، مثلاً من موقعك الإلكتروني، للحصول على معلومات عنها من خلال استغلال عمليات التسريب على مستوى المواقع الإلكترونية المستندة إلى الويب.
تحدّ Cross-Origin-Resource-Policy من هذا الخطر من خلال تحديد مجموعة المواقع الإلكترونية التي يمكن تحميلها من خلالها. يمكن أن يتضمّن العنوان إحدى القيم الثلاث التالية:
same-origin وsame-site وcross-origin. يُنصح بأن ترسل جميع الموارد هذا العنوان للإشارة إلى ما إذا كانت تسمح بتحميلها من قِبل مواقع إلكترونية أخرى.
مثال على الاستخدام
Cross-Origin-Resource-Policy: same-origin
الاستخدامات المقترَحة
ننصح بعرض جميع الموارد باستخدام أحد العناوين الثلاثة التالية.
يمكنك تجربة تأثير عمليات الضبط التالية على تحميل الموارد ضمن بيئة Cross-Origin-Embedder-Policy: require-corp على هذا العرض التوضيحي. غيِّر القائمة المنسدلة Cross-Origin-Resource-Policy وانقر على الزر إعادة تحميل الإطار iframe أو إعادة تحميل الصورة للاطّلاع على التأثير.
السماح بتحميل الموارد cross-origin
ننصح الخدمات المشابهة لشبكات توصيل المحتوى بتطبيق cross-origin على الموارد
(لأنّ الصفحات التي يتم تحميلها عادةً من مصادر متعددة تستخدمها)، إلا إذا كانت هذه الموارد معروضة
بالفعل من خلال CORS التي لها تأثير مشابه.
Cross-Origin-Resource-Policy: cross-originحصر الموارد التي سيتم تحميلها من same-origin
يجب تطبيق same-origin على الموارد التي يُراد تحميلها فقط من خلال صفحات من المصدر نفسه. يجب تطبيق ذلك على الموارد التي تتضمّن معلومات حسّاسة عن المستخدم أو ردود واجهة برمجة التطبيقات التي من المفترض أن يتم طلبها فقط من المصدر نفسه.
يُرجى العِلم أنّه سيظل بإمكانك تحميل الموارد التي تتضمّن هذا العنوان مباشرةً، مثلاً من خلال الانتقال إلى عنوان URL في نافذة متصفّح جديدة. لا تحمي سياسة مشاركة الموارد المشتركة المنشأ سوى الموارد من أن يتم تضمينها في مواقع إلكترونية أخرى.
Cross-Origin-Resource-Policy: same-originحصر الموارد التي سيتم تحميلها من same-site
ننصح بتطبيق same-site على الموارد المشابهة لما ورد أعلاه، ولكنّها مخصّصة ليتم تحميلها من خلال نطاقات فرعية أخرى من موقعك الإلكتروني.
Cross-Origin-Resource-Policy: same-siteالمتصفّحات المتوافقة
مزيد من المعلومات
سياسة Cross-Origin Opener Policy (COOP)
يمكن لموقع إلكتروني تابع لمهاجم فتح موقع إلكتروني آخر في نافذة منبثقة لمعرفة معلومات عنه من خلال استغلال عمليات تسريب البيانات من مواقع متعددة على الويب. في بعض الحالات، قد يسمح ذلك أيضًا باستغلال هجمات القنوات الجانبية استنادًا إلى Spectre.
يوفّر العنوان Cross-Origin-Opener-Policy طريقة لعزل المستند عن النوافذ التي تم فتحها من مصادر متعددة من خلال window.open() أو رابط يتضمّن target="_blank" بدون rel="noopener". نتيجةً لذلك، لن يكون لدى أي نافذة مفتوحة من مصدر خارجي للمستند أي مرجع إليه، ولن تتمكّن من التفاعل معه.
مثال على الاستخدام
Cross-Origin-Opener-Policy: same-origin-allow-popups
الاستخدامات المقترَحة
يمكنك تجربة تأثير الإعدادات التالية في التواصل مع نافذة منبثقة من مصدر مختلف على هذا العرض التوضيحي. غيِّر القائمة المنسدلة Cross-Origin-Opener-Policy لكل من المستند والنافذة المنبثقة، وانقر على الزر فتح نافذة منبثقة، ثم انقر على إرسال postMessage لمعرفة ما إذا تم تسليم الرسالة فعلاً.
عزل مستند عن النوافذ المتعددة المصادر
يؤدي ضبط same-origin إلى عزل المستند عن نوافذ المستندات المتعددة المصادر.
Cross-Origin-Opener-Policy: same-originعزل مستند عن النوافذ المتعددة المصادر مع السماح بالنوافذ المنبثقة
يسمح ضبط same-origin-allow-popups للمستند بالاحتفاظ بمرجع إلى نوافذه المنبثقة ما لم يتم ضبط COOP على same-origin أو same-origin-allow-popups. وهذا يعني أنّه سيظل بإمكان same-origin-allow-popups حماية المستند من أن تتم الإشارة إليه عند فتحه كنافذة منبثقة، ولكن سيُسمح له بالتواصل مع النوافذ المنبثقة الخاصة به.
Cross-Origin-Opener-Policy: same-origin-allow-popupsالسماح للنوافذ المتعددة المصادر بالإشارة إلى مستند
unsafe-none هي القيمة التلقائية، ولكن يمكنك الإشارة بوضوح إلى أنّه يمكن لنافذة من مصدر خارجي فتح هذا المستند والاحتفاظ بإمكانية الوصول المتبادل.
Cross-Origin-Opener-Policy: unsafe-noneأنماط التقارير غير المتوافقة مع COOP
يمكنك تلقّي تقارير عندما يمنع COOP التفاعلات بين النوافذ باستخدام Reporting API.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"تتيح سياسة COOP أيضًا وضع "الإبلاغ فقط"، ما يتيح لك تلقّي التقارير بدون حظر التواصل بين المستندات من مصادر متعددة.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"المتصفّحات المتوافقة
مزيد من المعلومات
مشاركة المراجع مع نطاقات خارجية (CORS)
على عكس العناصر الأخرى في هذه المقالة، فإنّ مشاركة المراجع مع نطاقات خارجية (CORS) ليس عنوانًا، بل هو آلية متصفّح تطلب الوصول إلى الموارد المشتركة المنشأ وتسمح به.
تفرض المتصفّحات تلقائيًا سياسة المصدر الأوحد لمنع صفحة ويب من الوصول إلى موارد من مصادر متعددة. على سبيل المثال، عند تحميل صورة من مصدر مختلف، على الرغم من أنّها معروضة على صفحة الويب، لا يمكن لرمز JavaScript على الصفحة الوصول إلى بيانات الصورة. يمكن لموفّر الموارد تخفيف القيود والسماح للمواقع الإلكترونية الأخرى بقراءة المورد من خلال الموافقة على سياسة CORS.
مثال على الاستخدام
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
قبل التعرّف على كيفية ضبط CORS، من المفيد فهم الفرق بين أنواع الطلبات. استنادًا إلى تفاصيل الطلب، سيتم تصنيفه على أنّه طلب بسيط أو طلب مسبق.
معايير الطلب البسيط:
- الطريقة هي
GETأوHEADأوPOST. - تتضمّن العناوين المخصّصة
AcceptوAccept-LanguageوContent-LanguageوContent-Typeفقط. - قيمة
Content-Typeهيapplication/x-www-form-urlencodedأوmultipart/form-dataأوtext/plain.
ويتم تصنيف أي شيء آخر على أنّه طلب مسبق. لمزيد من التفاصيل، يمكنك الاطّلاع على مشاركة المراجع مع نطاقات خارجية (CORS) - HTTP | MDN.
الاستخدامات المقترَحة
طلب بسيط
عندما يستوفي الطلب معايير الطلب البسيط، يرسل المتصفّح طلبًا من مصدر خارجي مع عنوان Origin يشير إلى مصدر الطلب.
مثال على عنوان الطلب
Get / HTTP/1.1 Origin: https://example.com
مثال على عنوان الاستجابة
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
- تشير
Access-Control-Allow-Origin: https://example.comإلى أنّhttps://example.comيمكنه الوصول إلى محتوى الردّ. يمكن للموارد التي من المفترض أن تكون قابلة للقراءة من أي موقع إلكتروني ضبط هذا العنوان على*، وفي هذه الحالة سيطلب المتصفّح إجراء الطلب بدون بيانات اعتماد فقط. - يشير
Access-Control-Allow-Credentials: trueإلى أنّه يُسمح بتحميل المورد للطلبات التي تتضمّن بيانات اعتماد (ملفات تعريف الارتباط). بخلاف ذلك، سيتم رفض الطلبات التي تمت مصادقتها حتى إذا كان المصدر الذي أرسل الطلب متوفّرًا في العنوانAccess-Control-Allow-Origin.
يمكنك تجربة تأثير الطلب البسيط في تحميل الموارد ضمن بيئة Cross-Origin-Embedder-Policy: require-corp على هذا العرض التوضيحي. ضَع علامة في مربّع الاختيار مشاركة المراجع مع نطاقات خارجية، ثم انقر على الزر إعادة تحميل الصورة للاطّلاع على التأثير.
الطلبات المُسبَقة
يسبق الطلب المُسبَق طلب OPTIONS للتحقّق مما إذا كان مسموحًا بإرسال الطلب اللاحق.
مثال على عنوان الطلب
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
- تسمح
Access-Control-Request-Method: POSTبإرسال الطلب التالي باستخدام طريقةPOST. - يتيح
Access-Control-Request-Headers: X-PINGOTHER, Content-Typeلمقدّم الطلب ضبط عنوانَي HTTPX-PINGOTHERوContent-Typeفي الطلب اللاحق.
أمثلة على رؤوس الاستجابة
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
- يشير
Access-Control-Allow-Methods: POST, GET, OPTIONSإلى أنّه يمكن تقديم الطلبات اللاحقة باستخدام طرقPOSTوGETوOPTIONS. - يشير
Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeإلى أنّ الطلبات اللاحقة يمكن أن تتضمّن العنوانَينX-PINGOTHERوContent-Type. - يشير
Access-Control-Max-Age: 86400إلى أنّه يمكن تخزين نتيجة الطلب المسبق مؤقتًا لمدة 86400 ثانية.
المتصفّحات المتوافقة
مزيد من المعلومات
سياسة "أداة تضمين المحتوى من مصادر خارجية" (COEP)
للحدّ من قدرة الهجمات المستندة إلى Spectre على سرقة موارد من مصادر متعددة، يتم إيقاف ميزات مثل SharedArrayBuffer أو performance.measureUserAgentSpecificMemory() تلقائيًا.
تمنع Cross-Origin-Embedder-Policy: require-corp المستندات والعاملين من تحميل موارد مشتركة المصدر، مثل الصور والنصوص البرمجية وأوراق الأنماط وإطارات iframe وغيرها، ما لم يتم السماح بتحميل هذه الموارد بشكلٍ صريح من خلال عناوين CORS أو CORP. يمكن دمج COEP معCross-Origin-Opener-Policy
لإتاحة حظر الوصول من نطاقات أخرى في المستند.
استخدِم Cross-Origin-Embedder-Policy: require-corp عندما تريد تفعيل
حظر الوصول من نطاقات أخرى لمستندك.
مثال على الاستخدام
Cross-Origin-Embedder-Policy: require-corp
أمثلة على الاستخدام
تتلقّى سياسة COEP قيمة واحدة من require-corp. من خلال إرسال هذا العنوان، يمكنك توجيه المتصفّح لحظر تحميل الموارد التي لم يتم تفعيلها من خلال CORS أو مشاركة الموارد مع نطاقات خارجية (CORP).
يمكنك تجربة تأثير الإعدادات التالية على تحميل الموارد في هذا العرض التوضيحي. غيِّر القائمة المنسدلة Cross-Origin-Embedder-Policy والقائمة المنسدلة Cross-Origin-Resource-Policy ومربّع الاختيار التقارير فقط وما إلى ذلك، لترى كيف تؤثّر في تحميل الموارد. يمكنك أيضًا فتح العرض التوضيحي لنقطة نهاية إعداد التقارير لمعرفة ما إذا تم الإبلاغ عن الموارد المحظورة.
تفعيل ميزة "العزل المشترك المصدر"
فعِّل حظر الوصول من نطاقات أخرى عن طريق إرسال
Cross-Origin-Embedder-Policy: require-corp مع
Cross-Origin-Opener-Policy: same-origin.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
الإبلاغ عن موارد غير متوافقة مع COEP
يمكنك تلقّي تقارير عن الموارد المحظورة بسبب سياسة COEP باستخدام Reporting API.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"تتيح سياسة COEP أيضًا وضع "الإبلاغ فقط"، ما يتيح لك تلقّي التقارير بدون حظر تحميل الموارد فعليًا.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"المتصفّحات المتوافقة
مزيد من المعلومات
الأمان المشدَّد لنقل البيانات باستخدام بروتوكول HTTP (HSTS)
لا يتم تشفير الاتصالات عبر اتصال HTTP عادي، ما يتيح للمتطفلين على مستوى الشبكة الوصول إلى البيانات المنقولة.
يُعلم عنوان Strict-Transport-Security المتصفّح بأنّه يجب ألا يتم تحميل الموقع الإلكتروني باستخدام HTTP، بل يجب استخدام HTTPS بدلاً من ذلك. وبعد ضبطه، سيستخدم المتصفّح بروتوكول HTTPS بدلاً من HTTP للوصول إلى النطاق بدون إعادة توجيه لمدة محددة في العنوان.
مثال على الاستخدام
Strict-Transport-Security: max-age=31536000
الاستخدامات المقترَحة
يجب أن تستجيب جميع المواقع الإلكترونية التي تنتقل من HTTP إلى HTTPS باستخدام العنوان Strict-Transport-Security عند تلقّي طلب باستخدام HTTP.
Strict-Transport-Security: max-age=31536000المتصفّحات المتوافقة