Nalika browser nggawe panjalukan menyang server lokal, iku masang header ekstra, kayata inang lan header asal, kanggo nyedhiyani informasi tambahan kanggo server. Header iki nduweni peran penting kanggo njamin keamanan lan fungsi aplikasi web sing bener. Ing jawaban iki, kita bakal njelajah carane browser nempelake header kasebut lan ngrembug babagan pentinge ing konteks keamanan server HTTP lokal.
Header host minangka komponen penting saka panyuwunan HTTP lan digunakake kanggo nemtokake host target sing bakal dikirim. Nalika nggawe panjalukan menyang server lokal, browser kalebu header host kanggo nunjukake jeneng host utawa alamat IP server sing pengin dikomunikasikake. Iki ngidini server ngenali tujuan sing dikarepake saka panjaluk kasebut. Contone, yen browser pengin ngakses kaca web sing di-host ing server lokal kanthi alamat IP 192.168.0.1, bakal kalebu header host kaya ing ngisor iki: "Host: 192.168.0.1". Server banjur nggunakake informasi iki kanggo rute panjalukan kanggo sumber cocok.
Header asal, ing tangan liyane, minangka mekanisme keamanan sing ditindakake dening browser modern kanggo nglindhungi serangan lintas-asal. Iki nemtokake asal saka panyuwunan kasebut, kalebu protokol, hostname, lan nomer port. Browser kanthi otomatis nyakup header asal ing panjalukan menyang server lokal kanggo mesthekake yen server bisa verifikasi sumber panyuwunan kasebut. Contone, yen kaca web sing di-host ing "http: // localhost: 8080" nggawe panjalukan menyang server lokal ing "http: // localhost: 3000", browser bakal kalebu header asal kaya ing ngisor iki: "Asal: http //localhost:8080". Iki ngidini server validasi manawa panyuwunan kasebut asale saka sumber sing dikarepake lan mbantu nyegah akses sing ora sah menyang sumber daya sensitif.
Saliyane header host lan asal, ana header liyane sing bisa dilampirake browser nalika nggawe panjaluk menyang server lokal. Contone, header agen pangguna nyedhiyakake informasi babagan aplikasi klien (yaiku, browser) sing nggawe panjaluk kasebut. Header iki mbantu server ngerti kemampuan lan watesan klien, supaya bisa menehi respon sing cocog.
Wigati dimangerteni manawa browser masang header kasebut kanthi standar, uga bisa diowahi utawa dibusak kanthi macem-macem cara. Iki bisa ditindakake liwat ekstensi browser, server proxy, utawa kanthi langsung manipulasi panyuwunan nggunakake teknik pemrograman. Mula, penting banget kanggo pangurus server ngetrapake langkah-langkah keamanan sing cocog kanggo ngesyahke lan ngresiki panjaluk sing mlebu, preduli saka anane header kasebut.
Nalika browser nggawe panjalukan menyang server lokal, iku masang header ekstra kayata header host lan asal. Header host nemtokake host target panyuwunan, dene header asal mbantu nglindhungi saka serangan lintas-asal. Header iki nduweni peran penting kanggo njamin keamanan lan fungsi aplikasi web kanthi bener. Administrator server kudu ngerti babagan header kasebut lan ngetrapake langkah-langkah keamanan sing cocog kanggo ngesyahke lan ngresiki panjaluk sing mlebu.
Pitakonan lan jawaban anyar liyane babagan Dasar-Dasar Keamanan Aplikasi EITC/IS/WASF:
- Apa header panjalukan metadata njupuk lan kepiye carane bisa digunakake kanggo mbedakake antarane panjalukan asal lan lintas situs sing padha?
- Kepiye jinis sing dipercaya bisa nyuda permukaan serangan aplikasi web lan nyederhanakake tinjauan keamanan?
- Apa tujuane kabijakan standar ing jinis sing dipercaya lan kepiye carane bisa digunakake kanggo ngenali tugas senar sing ora aman?
- Apa proses nggawe obyek jinis dipercaya nggunakake API jinis dipercaya?
- Kepiye jinis arahan sing dipercaya ing kabijakan keamanan konten mbantu nyuda kerentanan skrip lintas situs (XSS) berbasis DOM?
- Apa jinis sing dipercaya lan kepiye carane ngatasi kerentanan XSS adhedhasar DOM ing aplikasi web?
- Kepiye kabijakan keamanan konten (CSP) bisa mbantu nyuda kerentanan skrip lintas situs (XSS)?
- Apa pemalsuan panyuwunan lintas situs (CSRF) lan kepiye carane bisa dieksploitasi dening panyerang?
- Kepiye kerentanan XSS ing aplikasi web kompromi data pangguna?
- Apa rong kelas utama kerentanan sing umum ditemokake ing aplikasi web?
Deleng pitakonan lan jawaban liyane ing EITC/IS/WASF Web Applications Security Fundamentals