Калі браўзер робіць запыт лакальнаму серверу, ён далучае дадатковыя загалоўкі, такія як загалоўкі host і origin, каб даць серверу дадатковую інфармацыю. Гэтыя загалоўкі гуляюць вырашальную ролю ў забеспячэнні бяспекі і належнага функцыянавання вэб-праграм. У гэтым адказе мы вывучым, як браўзер далучае гэтыя загалоўкі, і абмяркуем іх значэнне ў кантэксце бяспекі лакальнага сервера HTTP.
Загаловак хаста з'яўляецца важным кампанентам HTTP-запыту і выкарыстоўваецца для ўказання мэтавага хоста, на які адпраўляецца запыт. Робячы запыт да лакальнага сервера, браўзер уключае загаловак хаста, каб паказаць імя хаста або IP-адрас сервера, з якім ён хоча звязацца. Гэта дазваляе серверу вызначыць пункт прызначэння запыту. Напрыклад, калі браўзер хоча атрымаць доступ да вэб-старонкі, размешчанай на лакальным серверы з IP-адрасам 192.168.0.1, ён будзе ўключаць загаловак хаста наступным чынам: "Хост: 192.168.0.1". Затым сервер выкарыстоўвае гэтую інфармацыю для накіравання запыту на адпаведны рэсурс.
Загаловак паходжання, з іншага боку, з'яўляецца механізмам бяспекі, рэалізаваным сучаснымі браўзерамі для абароны ад перакрыжаваных нападаў. Ён вызначае паходжанне, з якога робіцца запыт, уключаючы пратакол, імя хаста і нумар порта. Браўзер аўтаматычна ўключае загаловак паходжання ў запыты да лакальных сервераў, каб пераканацца, што сервер можа праверыць крыніцу запыту. Напрыклад, калі вэб-старонка, размешчаная па адрасе "http://localhost:8080", робіць запыт на лакальны сервер па адрасе "http://localhost:3000", браўзер будзе ўключаць загаловак паходжання наступным чынам: "Origin: http // лакальны хост: 8080". Гэта дазваляе серверу пацвердзіць, што запыт паходзіць з чаканай крыніцы, і дапамагае прадухіліць несанкцыянаваны доступ да канфедэнцыйных рэсурсаў.
У дадатак да загалоўкаў хоста і паходжання, ёсць іншыя загалоўкі, якія браўзеры могуць далучаць пры запытах на лакальныя серверы. Напрыклад, загаловак карыстальніцкага агента змяшчае інфармацыю аб кліенцкім дадатку (напрыклад, браўзеры), які робіць запыт. Гэты загаловак дапамагае серверу зразумець магчымасці і абмежаванні кліента, што дазваляе яму даваць адпаведныя адказы.
Важна адзначыць, што ў той час як браўзеры далучаюць гэтыя загалоўкі па змаўчанні, яны таксама могуць быць зменены або выдалены рознымі спосабамі. Гэта можна зрабіць з дапамогай пашырэнняў браўзера, проксі-сервераў або непасрэдна маніпулюючы запытам з дапамогай метадаў праграмавання. Такім чынам, вельмі важна, каб адміністратары сервераў выкарыстоўвалі адпаведныя меры бяспекі для праверкі і ачысткі ўваходных запытаў, незалежна ад наяўнасці гэтых загалоўкаў.
Калі браўзер робіць запыт да лакальнага сервера, ён далучае дадатковыя загалоўкі, такія як загалоўкі хоста і паходжання. Загаловак хаста вызначае мэтавы хост запыту, у той час як загаловак паходжання дапамагае абараніць ад атак з розных крыніц. Гэтыя загалоўкі гуляюць важную ролю ў забеспячэнні бяспекі і належнага функцыянавання вэб-праграм. Адміністратары сервераў павінны ведаць пра гэтыя загалоўкі і ўжыць адпаведныя меры бяспекі для праверкі і ачысткі ўваходных запытаў.
Іншыя апошнія пытанні і адказы адносна Асновы бяспекі вэб-прыкладанняў EITC/IS/WASF:
- Што такое загалоўкі запытаў на выбарку метададзеных і як іх можна выкарыстоўваць для адрознення паміж запытамі аднолькавага паходжання і міжсайтавымі запытамі?
- Як давераныя тыпы памяншаюць паверхню атакі вэб-праграм і спрашчаюць праверку бяспекі?
- Якая мэта палітыкі па змаўчанні ў давераных тыпах і як яе можна выкарыстоўваць для ідэнтыфікацыі небяспечных прызначэнняў радкоў?
- Які працэс стварэння аб'екта давераных тыпаў з дапамогай API давераных тыпаў?
- Як дырэктыва давераных тыпаў у палітыцы бяспекі змесціва дапамагае паменшыць уразлівасці міжсайтавага сцэнарыя (XSS) на аснове DOM?
- Што такое давераныя тыпы і як яны ліквідуюць уразлівасці XSS на аснове DOM у вэб-праграмах?
- Як палітыка бяспекі кантэнту (CSP) можа дапамагчы паменшыць уразлівасці міжсайтавых сцэнарыяў (XSS)?
- Што такое падробка міжсайтавых запытаў (CSRF) і як яе могуць выкарыстоўваць зламыснікі?
- Як уразлівасць XSS у вэб-праграме парушае даныя карыстальніка?
- Якія два асноўныя класы ўразлівасцяў звычайна сустракаюцца ў вэб-праграмах?
Больш пытанняў і адказаў глядзіце ў раздзеле "Асновы бяспекі вэб-прыкладанняў" EITC/IS/WASF