Header های امنیتی ASP.NET Core

Header

در این مقاله، در رابطه با Header های امنیتی ASP.NET Core خواهید آموخت.با کمکHeader ها، وب‌سایت شما می‌تواند اطلاعات مفیدی را به مرورگر ارسال کند.

بیایید بررسی کنیم چگونه می‌توان حفاظت و امنیت بیشتری را به وب‌سایت خود اضافه کرد.

جهت افزودن یک هدر برای هر درخواست، می‌توانیم از میان‌افزار استفاده کنیم.

XSS و CSP

حمله‌ی XSS-Cross-Site Scripting ، همچنان در IO مورد برتر OWASP قرار دارد.

به طور حتم، در رمزگذاری کردن سمبل‌ ها پیش‌از نمایش متن بر روی وب‌سایت (با استفاده از هر یک از HtmlEncoder، JavaScriptEncoder، و UrlEncoder) بسیار کمک‌کننده است. و بهتر است هیچگاه از @Html.Raw() استفاده نشود.

اما امکان افزودن هدری که مرورگر را جهت متوقف کردن حمله‌ی XSS آگاه کند، وجود دارد.

این نوع هدر اغلب برای مرورگرهای قدیمی کاربرد دارد.

app.Use(async (context, next) =>  
    {  
        context.Response.Headers.Add("X-Xss-Protection", "1");  
        await next();  
    });  

برای مرورگرهای جدید، بهتر است از CSP استفاده کرد. در اینجا نحوه‌ی افزودن هدر CSP آورده شده است.

app.Use(async (context, next) =>  
    {  
        context.Response.Headers.Add(  
            "Content-Security-Policy",  
            "default-src 'self'; " +  
            "img-src 'self' myblobacc.blob.core.windows.net; " +  
            "font-src 'self'; " +  
            "style-src 'self'; " +  
            "script-src 'self' 'nonce-KIBdfgEKjb34ueiw567bfkshbvfi4KhtIUE3IWF' "+  
            " 'nonce-rewgljnOIBU3iu2btli4tbllwwe'; " +  
            "frame-src 'self';"+  
            "connect-src 'self';");  
        await next();  
    });

در این مثال، امکان اجرای فایل‌های script.js تنها از وب‌سایت فعلی (که معنایی از ‘ self’ است) وجود دارد؛ و امکان اجرای ۲ اسکریپت مشخص‌شده با صفت ” nonce ” که در صفحه داخل تگ script درج شده‌اند وجود دارد.

برای مثال، اگر از اسکریپتی مانند این داخل صفحه‌ی خود استفاده می‌کنید.

script.js

 

آنگاه، قادر نخواهید بود این اسکریپت را بدون افزودن ‘ unsafe-inline ’ به تعریف CSP خود اجرا کنید.

اما افزودن ” unsafe-inline ” به معنای رهاکردن وب‌سایت خود بدون حفاظت است.

بنابراین، بهتر است اسکریپتی را به داخل فایل .js منتقل کرده یا از لینک nonce استفاده کنید.

تنها صفت nonce را با مقداری تصادفی به اسکریپت خود اضافه کنید.

برای مثال:

Headers

سپس می‌توانید مقدار ‘ nonce-KUY8VewuvyUYVEIvEFue4vwyiuf ’ را به اسکریپت CSP خود اضافه کنید و قادر خواهید بود اسکریپت‌هایی از دقیقا این بخش <script> را اجرا کنید.

‘ unsafe-inline ’ نیز مربوط به رویدادهایی است که به عنوان صفت به  html شما اضافه می‌شوند.

مانند onclick، onchange، onkeydown، onfocus.

برای مثال، به جای رویداد onclick زیر، باید شناسه یا کلاس را به عنصر خود اضافه کنید و رویداد را از <script> یا فایل .js فراخوانی کنید.

Show message

به این صورت:

X-Frame-Option

بطور پیش‌فرض، امکان نمایش وب‌سایت خود درون یک iframe وجود دارد.

اما با یک هدر کوچک، می‌توان از این امر جلوگیری کرد. چرا؟

زیرا یک نفر می‌تواند وب‌سایت شما را درون یک فریم نمایش داده و یک لایه‌ی شفاف بر روی آن بگذارد؛ و کاربران تصور می‌کنند که بر روی لینک‌های وب‌سایت شما کلیک می‌کنند اما در حقیقت، بر روی آیتم‌هایی که درون لایه‌ی شفاف قرار داده شده‌اند کلیک می‌کنند.

و از آنجایی که ممکن است کوکی‌ها همچنان در مرورگر کاربر باشند، برخی اعمال می‌توانند احراز هویت شوند.

این نوع حمله Clickjacking نامیده می‌شود؛ و در اینجا هدری برای محافظت از وب‌سایت شما در برابر این حمله آورده شده‌است.

context.Response.Headers.Add("X-Frame-Options", "DENY");  

Content sniffing

در لینک  File Upload XSS ، می‌توانید مثالی کم و بیش تازه از چگونگی تزریق JavaScript درون یک فایل svg بیابید، و اگر فایلی به این شکل در سروری که امنیت شنود محتوای آن فعال است قرار داده شود، آنگاه JavaScript کار نخواهد کرد، چرا که افزونه‌ی svg با محتوای JS مطابقت نمی‌کند.

امیدوارم اکنون این حرف من، که هدر بعدی مورد نیاز است، را باور کنید.

context.Response.Headers.Add("X-Content-Type-Options", "nosniff");  

Referrer-Policy

یکی از هدرهایی که بصورت خودکار توسط مرورگر افزوده می‌شود، ” Referrer ”  است.

این هدر حاوی سایتی است که کاربر از آن منتقل شده‌است.

گاهی اوقات، این امر برای تجزیه و تحلیل مناسب است. اما گاهی، URL ممکن است حاوی برخی اطلاعات خصوصی باشد که بهتر است فاش نشود.

برای مثال، چه کسی به مقاله‌ای که یک کاربر قبلا تصحیح‌کرده اهمیت می‌دهد: http://www.somegoodsite.com/Edit?id=34543276654

اگر نمی‌خواهید به مرورگرها اجازه دهید که وب‌سایت شما را به عنوان آخرین بازدید شده در هدر ” Referrer ” نمایش دهند، لطفا از Referrer-Policy:no-referrer استفاده کنید.

در اینجا مثالی از تمامی Header ها در یک میان‌افزار آورده شده است.

app.Use(async (context, next) =>  
    {  
        context.Response.Headers.Add("X-Xss-Protection", "1");  
        context.Response.Headers.Add("X-Frame-Options", "DENY");  
        context.Response.Headers.Add("Referrer-Policy", "no-referrer");  
        context.Response.Headers.Add("X-Content-Type-Options", "nosniff");  
                        context.Response.Headers.Add(  
            "Content-Security-Policy",  
            "default-src 'self'; " +  
            "img-src 'self' myblobacc.blob.core.windows.net; " +  
            "font-src 'self'; " +  
            "style-src 'self'; " +  
            "script-src 'self' 'nonce-KIBdfgEKjb34ueiw567bfkshbvfi4KhtIUE3IWF' "+  
            " 'nonce-rewgljnOIBU3iu2btli4tbllwwe'; " +  
            "frame-src 'self';"+  
            "connect-src 'self';");  
        await next();  
    });  

البته، می‌توانید اطلاعاتی را در رابطه با هر یک از این هدرها مطالعه کرده و مقادیر آن‌ها را بر حسب نیاز خود به مقداری مناسب‌تر تغییر دهید.

Strict-Transport-Security

جهت فعال‌کردن Strict-Transport-Security  مکانیزم اصل امنیتی وب که به حفاظت از وب‌سایت شما از حملات تنزل پروتکل و ربودن کوکی کمک می‌کند، مورد بعدی را به خط لوله‌ی میان‌افزار خود اضافه کنید (یا آن را حذف نکنید)،

app.UseHsts();  

این میان‌افزار، هدر “Strict-Transport-Security” را اضافه خواهد کرد.

Removing Server Header

برخی مواقع، Header ها برخی اطلاعاتی را ارائه می‌دهند که بهتر است پنهان بمانند.

جهت غیرفعال‌کردن هدر Server از Kestrel، نیاز است AddServerHeader را بر روی false تنظیم کنید.

اگر نسخه‌ی ASP.NET Core شما پایین‌تر از ۲.۲ است از UseKestrel() استفاده کنید و در غیر اینصورت از ConfigureKestrel() استفاده کنید.

WebHost.CreateDefaultBuilder(args)  
               .UseKestrel(c => c.AddServerHeader = false)  
               .UseStartup<Startup>()  
               .Build();    
  • پسورد: www.mspsoft.com
زهره سلطانیان

نوشته‌های مرتبط

دیدگاه‌ها

*
*

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.