Хөтөч нь локал серверт хүсэлт гаргахдаа серверт нэмэлт мэдээлэл өгөхийн тулд хост болон гарал үүслийн толгой зэрэг нэмэлт толгойнуудыг хавсаргадаг. Эдгээр толгойнууд нь вэб програмын аюулгүй байдал, зөв ажиллагааг хангахад чухал үүрэг гүйцэтгэдэг. Энэ хариултанд бид хөтөч эдгээр толгой хэсгийг хэрхэн хавсаргаж байгааг судалж, локал HTTP серверийн аюулгүй байдлын хүрээнд тэдгээрийн ач холбогдлыг хэлэлцэх болно.
Хост толгой хэсэг нь HTTP хүсэлтийн чухал бүрэлдэхүүн хэсэг бөгөөд хүсэлтийг илгээж буй зорилтот хостыг тодорхойлоход ашиглагддаг. Дотоод серверт хүсэлт гаргахдаа хөтөч нь холбогдохыг хүссэн серверийнхээ хостын нэр эсвэл IP хаягийг зааж өгөх хостын толгой хэсгийг агуулна. Энэ нь серверт хүсэлтийн зорьсон газрыг тодорхойлох боломжийг олгодог. Жишээлбэл, хэрэв хөтөч 192.168.0.1 IP хаягтай локал сервер дээр байрлах вэб хуудсанд хандахыг хүсвэл хостын толгой хэсгийг дараах байдлаар оруулна: "Хост: 192.168.0.1". Дараа нь сервер энэ мэдээллийг ашиглан хүсэлтийг зохих нөөц рүү чиглүүлнэ.
Нөгөө талаас гарал үүслийн толгой нь хөндлөн гарал үүслийн халдлагаас хамгаалахын тулд орчин үеийн хөтчүүдийн хэрэгжүүлсэн хамгаалалтын механизм юм. Энэ нь протокол, хостын нэр, портын дугаар зэрэг хүсэлтийг гаргаж буй эх сурвалжийг зааж өгдөг. Хөтөч нь сервер хүсэлтийн эх сурвалжийг баталгаажуулахын тулд локал серверт илгээсэн хүсэлтийн гарал үүслийн толгой хэсгийг автоматаар оруулдаг. Жишээлбэл, "http://localhost:8080" хаягаар байршуулсан вэб хуудас нь "http://localhost:3000" дээрх локал серверт хүсэлт гаргавал хөтөч нь эх сурвалжийн толгой хэсгийг дараах байдлаар оруулна: "Гарал үүсэл: http ://localhost:8080". Энэ нь серверт хүсэлт нь хүлээгдэж буй эх сурвалжаас үүсэлтэй болохыг баталгаажуулах боломжийг олгож, нууц эх сурвалжид зөвшөөрөлгүй хандахаас сэргийлдэг.
Хост болон гарал үүслийн толгойноос гадна хөтчүүд локал серверт хүсэлт гаргахдаа хавсаргаж болох бусад толгойнууд байдаг. Жишээлбэл, хэрэглэгчийн агентын толгой хэсэг нь хүсэлт гаргаж буй клиент програмын (жишээ нь, хөтөч) тухай мэдээллийг өгдөг. Энэхүү толгой хэсэг нь серверт үйлчлүүлэгчийн боломж, хязгаарлалтыг ойлгоход тусалдаг бөгөөд энэ нь түүнд тохирох хариу өгөх боломжийг олгодог.
Хөтөчүүд эдгээр толгойг анхдагч байдлаар хавсаргах боловч тэдгээрийг янз бүрийн аргаар өөрчлөх эсвэл устгах боломжтой гэдгийг анхаарах нь чухал юм. Үүнийг хөтчийн өргөтгөлүүд, прокси серверүүд эсвэл програмчлалын техник ашиглан хүсэлтийг шууд удирдах замаар хийж болно. Тиймээс серверийн администраторууд эдгээр гарчигаас үл хамааран ирж буй хүсэлтийг баталгаажуулах, ариутгах аюулгүй байдлын зохих арга хэмжээг хэрэгжүүлэх нь маш чухал юм.
Хөтөч нь локал серверт хүсэлт гаргахдаа хост болон гарал үүслийн толгой зэрэг нэмэлт толгойнуудыг хавсаргана. Хост толгой хэсэг нь хүсэлтийн зорилтот хостыг зааж өгдөг бол гарал үүслийн толгой хэсэг нь хөндлөн гарал үүслийн халдлагаас хамгаалахад тусалдаг. Эдгээр толгойнууд нь вэб програмуудын аюулгүй байдал, зөв ажиллагааг хангахад чухал үүрэг гүйцэтгэдэг. Серверийн админууд эдгээр гарчгийг мэдэж, ирж буй хүсэлтийг баталгаажуулах, ариутгах аюулгүй байдлын зохих арга хэмжээг хэрэгжүүлэх ёстой.
Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/WASF вэб програмын аюулгүй байдлын үндэс:
- Татаж авах мета өгөгдлийн хүсэлтийн толгой хэсэг гэж юу вэ, тэдгээрийг ижил гарал үүсэл болон сайт хоорондын хүсэлтийг хооронд нь ялгахад хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүд вэб програмын халдлагыг хэрхэн багасгаж, аюулгүй байдлын үнэлгээг хялбарчлах вэ?
- Итгэмжлэгдсэн төрлүүдийн өгөгдмөл бодлогын зорилго нь юу вэ, үүнийг аюулгүй бус мөрийн хуваарилалтыг тодорхойлоход хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүдийн API ашиглан итгэмжлэгдсэн төрлүүдийн объектыг үүсгэх процесс юу вэ?
- Агуулгын аюулгүй байдлын бодлого дахь итгэмжлэгдсэн төрлүүдийн заавар нь DOM-д суурилсан сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн тусалдаг вэ?
- Итгэмжлэгдсэн төрлүүд гэж юу вэ, вэб программ дахь DOM-д суурилсан XSS-ийн эмзэг байдлыг хэрхэн шийдвэрлэх вэ?
- Агуулгын аюулгүй байдлын бодлого (CSP) нь сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн туслах вэ?
- Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) гэж юу вэ, түүнийг халдагчид хэрхэн ашиглах вэ?
- Вэб програмын XSS эмзэг байдал нь хэрэглэгчийн мэдээллийг хэрхэн эвддэг вэ?
- Вэб аппликешнүүдэд нийтлэг тохиолддог хоёр үндсэн эмзэг байдлын ангилал юу вэ?
EITC/IS/WASF Вэб Програмын Аюулгүй байдлын үндэс хэсгээс илүү олон асуулт, хариултыг харна уу