אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » הוספת headers לאבטחת האתר עם קלאודפלייר

הוספת headers לאבטחת האתר עם קלאודפלייר

רן בר-זיק דצמבר 20, 2021 7:07 am תגובה אחת

עם קלאודפלייר ממש קל להוסיף Headers כרצוננו להגברת אבטחת האתר או למניעת בושות.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

לפני כמה ימים היו לי (כרגיל) בושות בקורס שאני מרצה בו בקריה האקדמית אונו באבטחת מידע. לימדתי על Headers בכל הנוגע לאבטחת מידע והסברתי גם על אתרים שבודקים Security headers. כמו למשל https://securityheaders.com המצוין שעוזר מאוד בכל נושא הבדיקות. מה רבה הפתעתי כשהסטודנטים הערמומיים בדקו את האתר שלי (כלומר האתר הזה) וגילו שהוא קיבל ציון F אדום ומביך. 😱😭

"אבל הי!" זעקתי מרה, "התקנתי תוסף והגדרות שיעזרו לי עם זה!". וזה נכון, עשיתי את זה באמצעות תוסף וורדפרס, אבל מתישהו, כאשר עשיתי מיגרציה לאמזון, זה לא עבד או לא עבר טוב. גם העברתי את האתר לקלאודפלייר וגם זה די חסם את ה-Headers.

חלקכם עכשיו לא מבינים מה אני רוצה מהם בכל הנוגע ל-headers. אז הנה הרצאה שעשיתי בנושא במיטאפ הנהדר של Negev web developers:

וגם מאמרים שכתבתי בנושא – חלק א', חלק ב'. הם יזכירו לכם מה זה headers ולמה הם חשובים לאבטחת האתר ומה המשמעות שלהם.

בד"כ בוורדפרס אנחנו יכולים להוסיף את ה-headers בקלות עם תוסף או htaccess. אבל אם אנחנו מפעילים את האתר מאחורי קלאודפלייר – שהוא פיירוול ו-reverse proxy אולטרא פופולרי ושימושי, אז אפשר בקלות להוסיף או להסיר headers באמצעות הממשק של קלאודפלייר! כמה דקות ואתם תהיו מסודרים.

אז איך? מבצעים לוגין לקלאודפלייר ובוחרים באתר שלכם. מייד אחרי כן, מחפשים את transform rules.

כשמגיעים למסך הבא אנו נבחר ב"יצירת transform rule" ונבחר ב-Modify Response Header. כיוון שאנו רוצים לקבוע כיצד התגובה של השרת תשתנה.

השלב הבא הוא יצירת ה-rule. מאוד חשוב לבחור לו שם וכן תנאי. התנאי יכול להיות סתמי – כמו למשל HTTPS בלבד. וכמובן להכניס את כל ה-headers שאנו רוצים.

אנו יכולים לבחור ב-Set Static ולהכניס את הערכים השונים ל-headers שאנו רוצים. אנו יכולים גם למחוק headers שאנו לא מעונינים בהם – כמו ה-header הערל והמשוקץ "x-powered-by", ארור שמו וארור זכרו.

אחרי ששומרים, לשים לב שה-rule עובד ויש לידו V ירוק וחביב. אין צורך לנקות את ה-cache. ה-headers מייד יכנסו לפעולה.

העניין הזה רק מראה כמה שימוש בקלאודפלייר הוא חשוב – מעבר ליתרונות הרבים שיש לו בעניין אבטחת מידע ושרידות האתר (הוא מאפשר לנו לעבור לשרת אחר בשניות למשל) – הוא מאפשר לנו בקלות ומבלי להתערב בעניין האפליקטיבי ליישם Headers שימושיים, כמו זה.

עכשיו יש לי באתר הבדיקה ציון A שיישמר כנראה כל עוד אני משתמש בקלאודפלייר. למה לא ציון A+? כי וורדפרס והעורך שלהם מחייבים unsafe-eval ב-CSP. איך אפשר להמנע מזה? אפשר, אני אסביר במאמר הבא.

נ.ב

הייתי בטוח שכתבתי פוסט על קלאודפלייר ולמה נורא חשוב לעבוד איתו. יש מצב שהוא הלך לאיבוד איכשהו. אנסה לשחזר ולהעלות מחדש.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
תשתית

תגובה אחת

  1. מני הגב אפריל 5, 2022 בשעה 4:27 pm

    תודה רבה רן, מה הסיכוי שתוכל לשתף דוגמאות לערכים מומלצים פר הדר או מקור למציאה / הסבר של הערך?

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד