Content Security Policy (CSP) သည် Cross-Site Scripting (XSS) တိုက်ခိုက်မှုများ၏ အန္တရာယ်ကို လျော့ပါးသက်သာစေရန် ဝဘ်အက်ပ်လီကေးရှင်းများတွင် လုပ်ဆောင်သည့် လုံခြုံရေးယန္တရားတစ်ခုဖြစ်သည်။ တိုက်ခိုက်သူသည် တိုက်ခိုက်သူ၏ဘရောက်ဆာမှ လုပ်ဆောင်သည့် ဝဘ်ဆိုက်တစ်ခုထဲသို့ အန္တရာယ်ရှိသော script များကို ထိုးသွင်းသောအခါ XSS တိုက်ခိုက်မှုများ ဖြစ်ပေါ်လာသည်။ ဤဇာတ်ညွှန်းများသည် အရေးကြီးသောအချက်အလက်များကို ခိုးယူခြင်း၊ အကြောင်းအရာကို ကြိုးကိုင်ခြင်း၊ သို့မဟုတ် အခြားသော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်သည်။
CSP သည် မည်သည့်အကြောင်းအရာ၏ရင်းမြစ်များကို ယုံကြည်စိတ်ချရသည်ဟု ယူဆကာ ဝဘ်စာမျက်နှာမှ တင်နိုင်သည့် မူဝါဒအစုံကို သတ်မှတ်ရန် ဝဘ်ဆိုဒ်စီမံခန့်ခွဲသူများကို ခွင့်ပြုခြင်းဖြင့် လုပ်ဆောင်သည်။ ဤမူဝါဒများကို Content-Security-Policy HTTP တုံ့ပြန်မှု ခေါင်းစီး သို့မဟုတ် HTML စာရွက်စာတမ်းရှိ မက်တာတက်ဂ်မှတဆင့် ဘရောင်ဇာသို့ ဆက်သွယ်ထားသည်။
အကြောင်းအရာလုံခြုံရေးမူဝါဒကို သတ်မှတ်ခြင်းဖြင့် ဝဘ်အပလီကေးရှင်းဆော့ဖ်ဝဲရေးသားသူများသည် ဝဘ်စာမျက်နှာတစ်ခုမှ တင်၍ လုပ်ဆောင်နိုင်သည့် အကြောင်းအရာအမျိုးအစားများကို ကန့်သတ်နိုင်သည်။ ၎င်းသည် တိုက်ခိုက်သူများ ထိုးသွင်းထားသော အန္တရာယ်ရှိသော script များကို တားဆီးရန် ကူညီပေးသည်။ CSP သည် ဤကန့်သတ်ချက်များကို သတ်မှတ်ရန် အသုံးပြုနိုင်သည့် လမ်းညွှန်ချက်များစွာကို ပံ့ပိုးပေးသည်၊ အပါအဝင်၊
1. "default-src"- ဇာတ်ညွှန်းများ၊ စတိုင်စာရွက်များနှင့် ပုံများကဲ့သို့သော အကြောင်းအရာအတွက် မူရင်းရင်းမြစ်ကို သတ်မှတ်ပေးသည်။ အကြောင်းအရာအမျိုးအစားတစ်ခုအတွက် အခြားညွှန်ကြားချက်ကို အတိအကျသတ်မှတ်ထားခြင်း မရှိသည့်အခါ ဤညွှန်ကြားချက်ကို အသုံးပြုပါသည်။
2. "script-src"- မည်သည့် scripts များကို တင်နိုင်သည့် အရင်းအမြစ်များကို သတ်မှတ်ပေးသည် ။ ခွင့်ပြုထားသောရင်းမြစ်များကို ကန့်သတ်ခြင်းဖြင့်၊ developer များသည် မယုံကြည်ရသော domains များမှ အန္တရာယ်ရှိသော script များကို တားဆီးနိုင်သည်။
3. "style-src"- စတိုင်စာရွက်များကို တင်နိုင်သည့် အရင်းအမြစ်များကို သတ်မှတ်သည်။ ဤညွှန်ကြားချက်သည် ဝဘ်စာမျက်နှာ၏ အသွင်အပြင် သို့မဟုတ် အပြုအမူကို ကြိုးကိုင်နိုင်သည့် အန္တရာယ်ရှိသော ပုံစံစာရွက်များ ပါဝင်ခြင်းကို တားဆီးရန် ကူညီပေးသည်။
4. "img-src"- ပုံများကို တင်နိုင်သည့် အရင်းအမြစ်များကို သတ်မှတ်သည်။ ခွင့်ပြုထားသောရင်းမြစ်များကို ကန့်သတ်ခြင်းဖြင့်၊ developer များသည် အန္တရာယ်ရှိသောကုဒ်ပါရှိသော ပုံများတင်ခြင်းကို တားဆီးနိုင်သည် သို့မဟုတ် တိုက်ခိုက်မှုများအတွက် ဝန်ဆောင်မှုပေးသူအဖြစ် ဆောင်ရွက်နိုင်ပါသည်။
5. "frame-src"- မည်သည့်ဘောင်များ သို့မဟုတ် iframes များကို တင်နိုင်သည်ဖြစ်စေ အရင်းအမြစ်များကို သတ်မှတ်ပေးသည်။ ဤညွှန်ကြားချက်သည် မယုံကြည်ရသော အရင်းအမြစ်များမှ ဝဘ်စာမျက်နှာများကို မြှုပ်နှံခြင်းကို ကန့်သတ်ခြင်းဖြင့် clickjacking တိုက်ခိုက်မှုများကို တားဆီးရန် ကူညီပေးပါသည်။
6. "connect-src"- ဝဘ်အပလီကေးရှင်းသည် ကွန်ရက်တောင်းဆိုမှုများကို ပြုလုပ်နိုင်သည့် အရင်းအမြစ်များကို သတ်မှတ်ပေးသည်။ ဤညွှန်ကြားချက်သည် ဦးတည်ရာများကို ယုံကြည်ရသော ဒိုမိန်းများသို့ ကန့်သတ်ခြင်းဖြင့် ဒေတာထုတ်ယူခြင်းကို တားဆီးရန် ကူညီပေးသည်။
ဤသည်မှာ CSP မှ ပေးသော ညွှန်ကြားချက်များ ၏ နမူနာ အနည်းငယ်မျှသာ ဖြစ်သည်။ Developer များသည် ၎င်းတို့၏ ဝဘ်အပလီကေးရှင်း၏ သီးခြားလိုအပ်ချက်များအပေါ် အခြေခံ၍ မူဝါဒကို စိတ်ကြိုက်ပြင်ဆင်နိုင်သည်။ CSP သည် သတ်မှတ်ထားသော ရင်းမြစ်များကိုသာ ခွင့်ပြုထားကြောင်း ဆိုလိုရင်းမှာ whitelist ချဉ်းကပ်မှုတွင် လုပ်ဆောင်နေကြောင်း မှတ်သားထားရန် အရေးကြီးပြီး အခြားသော အရင်းအမြစ်အားလုံးကို မူရင်းအတိုင်း ပိတ်ဆို့ထားသည်။
CSP ကိုအကောင်အထည်ဖော်ခြင်းဖြင့်၊ ဝဘ်အက်ပလီကေးရှင်းဆော့ဖ်ဝဲရေးသားသူများသည် XSS တိုက်ခိုက်မှုများ၏အန္တရာယ်ကို သိသိသာသာလျှော့ချနိုင်သည်။ တိုက်ခိုက်သူသည် ဝဘ်စာမျက်နှာတစ်ခုသို့ အန္တရာယ်ရှိသော Script များကို ထည့်သွင်းရန် ကြိုးပမ်းသောအခါ၊ CSP မူဝါဒများအတိုင်း ဘရောက်ဆာသည် ယုံကြည်ရသော ရင်းမြစ်များမှ မဟုတ်ပါက အဆိုပါ Script များ၏ လုပ်ဆောင်မှုကို ပိတ်ဆို့ပါသည်။ ၎င်းသည် တိုက်ခိုက်သူ၏ script များကို လည်ပတ်ခြင်းမှ တားဆီးကာ ဝဘ်အပလီကေးရှင်း၏ အသုံးပြုသူများကို ဖြစ်နိုင်ချေရှိသော အန္တရာယ်များမှ ကာကွယ်ပေးသည်။
Content Security Policy (CSP) သည် ဝဘ်စာမျက်နှာမှ တင်၍ လုပ်ဆောင်နိုင်သည့် အကြောင်းအရာများ၏ အရင်းအမြစ်များကို ကန့်သတ်သည့် မူဝါဒအစုံကို သတ်မှတ်ခွင့်ပြုခြင်းဖြင့် XSS တိုက်ခိုက်မှုများ၏ အန္တရာယ်ကို လျော့ပါးသက်သာစေသည့် လုံခြုံရေးယန္တရားတစ်ခုဖြစ်သည်။ CSP ကို အကောင်အထည်ဖော်ပြီး ၎င်း၏ညွှန်ကြားချက်များကို မှန်ကန်စွာပြင်ဆင်ခြင်းဖြင့်၊ developer များသည် ၎င်းတို့၏ဝဘ်အက်ပ်လီကေးရှင်းများနှင့် ၎င်းတို့၏အသုံးပြုသူများကို XSS တိုက်ခိုက်မှုများ၏ အန္တရာယ်ရှိသောသက်ရောက်မှုများမှ ကာကွယ်နိုင်ပါသည်။
အခြား လတ်တလောမေးခွန်းများနှင့် အဖြေများ Cross-site scripting:
- ဝဘ်အက်ပလီကေးရှင်းတစ်ခုထံ တောင်းဆိုချက်တစ်ခုတွင် အန္တရာယ်ရှိသော script တစ်ခုကို ထည့်သွင်းပြီးနောက် အသုံးပြုသူထံ ပြန်လည်ပေးပို့သည့်အခါ သိမ်းဆည်းထားသည့် XSS တိုက်ခိုက်မှုများ ဖြစ်ပွားပါသလား။
- ဆိုက်ပေါ်တွင် အန္တရာယ်ရှိသော ကုဒ်ကို လုပ်ဆောင်ရန် ဆာဗာ၏ အမှားစာမျက်နှာရှိ URL တစ်ခုအဖြစ် အသွင်ယူထားသော JavaScript ကုဒ်ကို တိုက်ခိုက်သူသည် မည်ကဲ့သို့ ထိုးသွင်းနိုင်ပုံကို ဖော်ပြပါ။
- ဝဘ်ဆိုက်တစ်ခုပေါ်ရှိ မတရားကုဒ်ကို လုပ်ဆောင်ရန် AngularJS ကို မည်သို့အသုံးချနိုင်သည်ကို ရှင်းပြပါ။
- တိုက်ခိုက်သူသည် ပဲ့တင်ထပ်သော XSS တိုက်ခိုက်မှုကို လုပ်ဆောင်ရန် အားနည်းချက်ရှိသော ထည့်သွင်းမှုအကွက် သို့မဟုတ် ကန့်သတ်ချက်တစ်ခုကို မည်သို့အသုံးချသနည်း။
- Cross-site scripting (XSS) ဆိုတာ ဘာလဲ၊ ဘာကြောင့် ဝဘ်အပလီကေးရှင်းတွေမှာ ဘုံအားနည်းချက်လို့ ယူဆတာလဲ။
- CSP အကောင်အထည်ဖော်မှု၏စိန်ခေါ်မှုများကိုဖြေရှင်းရန် "CSP သည်သေပြီ၊ အသက်ရှည်သော CSP" သုတေသနစာတမ်းတွင်အဆိုပြုထားသောအဖြေကဘာလဲ။
- CSP ကို အကောင်အထည်ဖော်ရာတွင် ကန့်သတ်ချက်များနှင့် စိန်ခေါ်မှုများကား အဘယ်နည်း။
- အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) သည် XSS တိုက်ခိုက်မှုများကို မည်သို့ကာကွယ်ပေးသနည်း။
- XSS တိုက်ခိုက်မှုများအတွက် ဘုံကာကွယ်ရေးအချို့က အဘယ်နည်း။
- Cross-site scripting (XSS) ဆိုတာ ဘာလဲ၊ ဘာကြောင့် ဝဘ်အက်ပလီကေးရှင်းတွေအတွက် အရေးကြီးတဲ့ လုံခြုံရေး စိုးရိမ်စရာ ဖြစ်နေတာလဲ။
Cross-site scripting တွင် နောက်ထပ်မေးခွန်းများနှင့် အဖြေများကို ကြည့်ပါ။