Када прегледач упути захтев локалном серверу, он прилаже додатна заглавља, као што су заглавља хоста и порекла, да обезбеди додатне информације серверу. Ова заглавља играју кључну улогу у обезбеђивању безбедности и правилног функционисања веб апликација. У овом одговору ћемо истражити како прегледач прилаже ова заглавља и дискутовати о њиховом значају у контексту безбедности локалног ХТТП сервера.
Заглавље хоста је суштинска компонента ХТТП захтева и користи се за одређивање циљног хоста коме се захтев шаље. Када шаљете захтев локалном серверу, претраживач укључује заглавље хоста да би означило име хоста или ИП адресу сервера са којим жели да комуницира. Ово омогућава серверу да идентификује намеравано одредиште захтева. На пример, ако прегледач жели да приступи веб страници хостованој на локалном серверу са ИП адресом 192.168.0.1, он би укључивао заглавље хоста на следећи начин: „Хост: 192.168.0.1“. Сервер затим користи ове информације да усмери захтев на одговарајући ресурс.
Изворно заглавље, с друге стране, је сигурносни механизам који имплементирају модерни претраживачи за заштиту од напада са више извора. Он специфицира порекло из којег се шаље захтев, укључујући протокол, име хоста и број порта. Прегледач аутоматски укључује изворно заглавље у захтеве ка локалним серверима како би осигурао да сервер може да провери извор захтева. На пример, ако веб страница хостована на „хттп://лоцалхост:8080“ упути захтев локалном серверу на „хттп://лоцалхост:3000“, прегледач ће укључити изворно заглавље на следећи начин: „Порекло: хттп ://лоцалхост:8080". Ово омогућава серверу да потврди да захтев потиче из очекиваног извора и помаже у спречавању неовлашћеног приступа осетљивим ресурсима.
Поред главног и изворног заглавља, постоје и друга заглавља која прегледачи могу приложити када упућују захтеве локалним серверима. На пример, заглавље корисничког агента пружа информације о клијентској апликацији (тј. претраживачу) која поставља захтев. Ово заглавље помаже серверу да разуме могућности и ограничења клијента, омогућавајући му да пружи одговарајуће одговоре.
Важно је напоменути да иако прегледачи подразумевано прилажу ова заглавља, она се такође могу изменити или уклонити на различите начине. Ово се може урадити преко проширења претраживача, прокси сервера или директним манипулисањем захтевом коришћењем техника програмирања. Због тога је кључно да администратори сервера примене одговарајуће безбедносне мере за валидацију и санирање долазних захтева, без обзира на присуство ових заглавља.
Када претраживач упути захтев локалном серверу, он прилаже додатна заглавља као што су заглавља хоста и порекла. Заглавље хоста специфицира циљни хост захтева, док изворно заглавље помаже у заштити од напада са више извора. Ова заглавља играју виталну улогу у обезбеђивању безбедности и правилног функционисања веб апликација. Администратори сервера треба да буду свесни ових заглавља и да примењују одговарајуће мере безбедности да би потврдили и санирали долазне захтеве.
Остала недавна питања и одговори у вези ЕИТЦ/ИС/ВАСФ Основе безбедности веб апликација:
- Шта су заглавља захтева за преузимање метаподатака и како се могу користити за разликовање између захтева истог порекла и захтева на више локација?
- Како поуздани типови смањују површину напада веб апликација и поједностављују безбедносне прегледе?
- Која је сврха подразумеване политике у поузданим типовима и како се може користити за идентификацију небезбедних додела стрингова?
- Који је процес за креирање објекта поузданих типова помоћу АПИ-ја поузданих типова?
- Како директива о поузданим типовима у политици безбедности садржаја помаже у ублажавању рањивости ДОМ-базираног скриптовања на више локација (КССС)?
- Шта су поуздани типови и како се баве КССС рањивостима заснованим на ДОМ-у у веб апликацијама?
- Како политика безбедности садржаја (ЦСП) може помоћи у ублажавању рањивости скриптовања на више локација (КССС)?
- Шта је фалсификовање захтева на више локација (ЦСРФ) и како га нападачи могу искористити?
- Како КССС рањивост у веб апликацији угрожава корисничке податке?
- Које су две главне класе рањивости које се обично налазе у веб апликацијама?
Погледајте више питања и одговора у ЕИТЦ/ИС/ВАСФ Основама безбедности веб апликација