کله چې براوزر محلي سرور ته غوښتنه کوي، دا اضافي سرلیکونه ضمیمه کوي، لکه کوربه او اصلي سرلیکونه، سرور ته اضافي معلومات چمتو کوي. دا سرلیکونه د ویب غوښتنلیکونو د امنیت او مناسب فعالیت په یقیني کولو کې مهم رول لوبوي. پدې ځواب کې، موږ به وڅیړو چې څنګه براوزر دا سرلیکونه ضمیمه کوي او د محلي HTTP سرور امنیت په شرایطو کې د دوی اهمیت په اړه بحث وکړي.
د کوربه سرلیک د HTTP غوښتنې یوه لازمي برخه ده او د هدف کوربه مشخص کولو لپاره کارول کیږي چې غوښتنه یې لیږل کیږي. کله چې محلي سرور ته غوښتنه وکړئ ، براوزر کې کوربه سرلیک شامل دی ترڅو د کوربه نوم یا د سرور IP پته په ګوته کړي چې دا غواړي ورسره اړیکه ونیسي. دا سرور ته اجازه ورکوي چې د غوښتنې مطلوب ځای وپیژني. د مثال په توګه، که چیرې یو براوزر وغواړي چې په محلي سرور کې د IP پتې 192.168.0.1 سره کوربه شوي ویب پاڼې ته لاسرسی ومومي، دا به د کوربه سرلیک په لاندې ډول شامل وي: "کوربه: 192.168.0.1". بیا سرور دا معلومات کاروي ترڅو غوښتنې مناسبې سرچینې ته ورسوي.
له بلې خوا د اصلي سرلیک یو امنیتي میکانیزم دی چې د عصري براوزرونو لخوا پلي کیږي ترڅو د کراس اصلي بریدونو پروړاندې محافظت وکړي. دا هغه اصل ټاکي چې له کوم ځای څخه غوښتنه کیږي، په شمول د پروتوکول، کوربه نوم، او پورټ شمیره. براوزر په اوتومات ډول د ځایی سرورونو په غوښتنو کې د اصلي سرلیک شاملوي ترڅو ډاډ ترلاسه کړي چې سرور کولی شي د غوښتنې سرچینه تایید کړي. د مثال په توګه، که چیرې په "http://localhost:8080" کې کوربه شوې ویب پاڼه په "http://localhost:3000" کې د محلي سرور څخه غوښتنه وکړي، براوزر به د اصلي سرلیک په لاندې ډول شامل کړي: "اصلي: http ://localhost:8080". دا سرور ته اجازه ورکوي چې دا تایید کړي چې غوښتنه د متوقع سرچینې څخه رامینځته شوې او حساس سرچینو ته د غیر مجاز لاسرسي مخنیوي کې مرسته کوي.
د کوربه او اصلي سرلیکونو سربیره، نور سرلیکونه شتون لري چې براوزر ممکن د ځایی سرورونو غوښتنې کولو پر مهال ضمیمه کړي. د مثال په توګه، د کاروونکي ایجنټ سرلیک د پیرودونکي غوښتنلیک (یعنې براوزر) په اړه معلومات چمتو کوي چې غوښتنه یې کوي. دا سرلیک له سرور سره مرسته کوي چې د پیرودونکي وړتیاوې او محدودیتونه پوه کړي، دا توان ورکوي چې مناسب ځوابونه چمتو کړي.
دا مهمه ده چې په یاد ولرئ پداسې حال کې چې براوزر دا سرلیکونه په ډیفالټ سره ضمیمه کوي ، دوی هم د مختلف وسیلو لخوا ترمیم یا لرې کیدی شي. دا د براوزر توسیعونو، پراکسي سرورونو له لارې ترسره کیدی شي، یا د پروګرام کولو تخنیکونو په کارولو سره په مستقیم ډول د غوښتنې اداره کول. نو ځکه، دا د سرور مدیرانو لپاره خورا مهم دی چې د دې سرلیکونو شتون ته په پام سره، د راتلونکو غوښتنو اعتبار او پاکولو لپاره مناسب امنیتي تدابیر پلي کړي.
کله چې براوزر محلي سرور ته غوښتنه کوي، دا اضافي سرلیکونه لکه کوربه او اصلي سرلیکونه ضمیمه کوي. د کوربه سرلیک د غوښتنې هدف کوربه ټاکي، پداسې حال کې چې د اصلي سرلیک د کراس اصلي بریدونو په وړاندې ساتنه کې مرسته کوي. دا سرلیکونه د ویب غوښتنلیکونو د امنیت او مناسب فعالیت په یقیني کولو کې مهم رول لوبوي. د سرور مدیران باید د دې سرلیکونو څخه خبر وي او د راتلونکو غوښتنو اعتبار او پاکولو لپاره مناسب امنیتي تدابیر پلي کړي.
په اړه نورې وروستۍ پوښتنې او ځوابونه EITC/IS/WASF د ویب غوښتنلیکونو امنیت اساسات:
- د ترلاسه کولو میټاډاټا غوښتنې سرلیکونه څه دي او څنګه د ورته اصلي او کراس سایټ غوښتنو ترمینځ توپیر کولو لپاره کارول کیدی شي؟
- د باور وړ ډولونه څنګه د ویب غوښتنلیکونو برید سطحه کموي او د امنیت بیاکتنې ساده کوي؟
- په باوري ډولونو کې د ډیفالټ پالیسي هدف څه دی او دا څنګه د ناامنه سټینګ دندې پیژندلو لپاره کارول کیدی شي؟
- د باوري ډولونو API په کارولو سره د باوري ډولونو اعتراض رامینځته کولو پروسه څه ده؟
- د مینځپانګې امنیت پالیسۍ کې د باور لرونکي ډولونو لارښود څنګه د DOM-based کراس سایټ سکریپټینګ (XSS) زیانونو کمولو کې مرسته کوي؟
- باوري ډولونه څه دي او دوی څنګه په ویب غوښتنلیکونو کې د DOM-based XSS زیانمننې په نښه کوي؟
- څنګه کولی شي د مینځپانګې امنیت پالیسي (CSP) د کراس سایټ سکریپټینګ (XSS) زیانونو کمولو کې مرسته وکړي؟
- د کراس سایټ غوښتنې جعل (CSRF) څه شی دی او څنګه د برید کونکو لخوا کارول کیدی شي؟
- په ویب اپلیکیشن کې د XSS زیانمنتیا څنګه د کارونکي ډیټا سره موافقت کوي؟
- د زیان مننې دوه اصلي ټولګي کوم دي چې معمولا په ویب غوښتنلیکونو کې موندل کیږي؟
نورې پوښتنې او ځوابونه په EITC/IS/WASF د ویب غوښتنلیکونو امنیت اساساتو کې وګورئ