La seguretat del testimoni CORS (Cross-Origin Resource Sharing) és important perquè la configuració mal configurada pot exposar dades sensibles als atacants. A continuació s'explica com protegir els vostres testimonis i protegir les vostres aplicacions:

• Establir normes d'origen estrictes: només permet l'entrada de dominis de confiança Accés-Control-Permetre-Origen.
• Eviteu els comodins amb credencials: Els navegadors bloquegen configuracions com * amb Access-Control-Allow-Credentials: cert.
• Feu servir sempre HTTPS: xifra tots els intercanvis de testimonis i aplica HSTS.
• Valideu les fitxes del costat del servidor: comproveu el format del testimoni, la caducitat i els permisos de cada sol·licitud.
• Controlar el cicle de vida del testimoni: Utilitzeu temps de caducitat curts, feu rotació de fitxes i revocades a la llista negra.

Exemple de configuració segura de CORS:

Access-Control-Allow-Origin: https://trusted-app.com Access-Control-Allow-Credentials: true Access-Control-Allow-Headers: Autorització, Tipus de contingut 

Conceptes bàsics de seguretat de CORS i token

CORS explicat

CORS (Cross-Origin Resource Sharing) controla com les aplicacions web accedeixen als recursos de diferents orígens (com ara domini, protocol o port) mitjançant capçaleres HTTP. Quan un navegador detecta una sol·licitud d'origen creuat, es basa en les polítiques CORS per determinar si s'ha de permetre la sol·licitud.

Les capçaleres HTTP clau implicades en CORS inclouen:

• Origen: Identifica el domini d'origen de la sol·licitud.
• Accés-Control-Permetre-Origen: Llista els orígens permesos per accedir al recurs.
• Mètodes-Control d'accés-Permetre: Especifica els mètodes HTTP permesos (per exemple, GET, POST).
• Accés-Control-Permetre-Capçaleres: indica quines capçaleres personalitzades es poden incloure a les sol·licituds.
• Accés-Control-Permetre-Credencials: determina si es poden enviar credencials com ara galetes o testimonis.

Per exemple, si una aplicació web allotjada a https://app.example.com necessita dades d'una API a https://api.example.com, el servidor de l'API ha d'incloure capçaleres CORS per permetre la sol·licitud d'origen creuat.

Ara, mirem com juguen les fitxes en això.

Tokens a CORS Security

Els testimonis són essencials per assegurar les sessions dels usuaris i autoritzar les sol·licituds d'origen creuat. Dos tipus habituals de fitxes són:

• Fitxes de portador: Enviat al Autorització capçalera.
• Fitxes de sessió: normalment s'emmagatzema en galetes.

Si CORS està mal configurat, els testimonis es poden exposar a dominis no fiables, creant riscos de seguretat. Per protegir els testimonis durant les sol·licituds d'origen creuat, els servidors haurien de validar:

• L'origen que fa la petició.
• Si el testimoni està present i està formatat correctament.
• Si el testimoni ha caducat.
• Els permisos associats al testimoni.

La configuració adequada de la capçalera CORS és fonamental per a la seguretat del testimoni. Per exemple, quan s'utilitzen fitxes de portador, el servidor ha de permetre explícitament Autorització capçalera. Aquí teniu un exemple de configuració:

Access-Control-Allow-Headers: Autorització, Tipus-de-Contingut Access-Control-Allow-Origin: https://app.example.com Access-Control-Allow-Credentials: true 

Aquesta configuració garanteix que només el domini de confiança (https://app.example.com) pot enviar fitxes d'autorització. També bloqueja les sol·licituds d'origen creuat no autoritzades, reduint el risc de robatori o ús indegut del testimoni.

Compartició de recursos entre orígens (CORS) | Guia completa

Llista de verificació de seguretat del testimoni CORS

Per assegurar-vos que els vostres fitxes estiguin segurs quan feu servir CORS, seguiu aquestes mesures detallades.

Control d'accés a l'origen

Controleu quins orígens poden accedir als vostres recursos establint regles estrictes al vostre Accés-Control-Permetre-Origen capçalera. Per exemple:

Control-d'accés-permet-origen: https://trusted-domain.com Mètodes-de-control-d'accés-permet: GET, POST, OPTIONS 

Manteniu una llista blanca del servidor de dominis de confiança i valideu-hi les sol·licituds. Xifreu sempre les transferències de testimoni per protegir les dades sensibles.

Requisits HTTPS

Utilitzeu sempre HTTPS per assegurar la comunicació. A continuació s'explica com fer-ho complir:

• Instal·leu certificats SSL/TLS d'una autoritat de confiança.
• Configureu redireccions automàtiques d'HTTP a HTTPS.
• Habiliteu HTTP Strict Transport Security (HSTS) amb una configuració com aquesta:

Seguretat de transport estricte: edat màxima = 31536000; inclou subdominis; precàrrega 

Això garanteix que totes les connexions romanguin encriptades i segures.

Regles per compartir credencials

Quan manipuleu fitxes amb CORS, gestioneu les credencials amb cura:

Escenari	Configuració	Efecte
Token a la capçalera d'autorització	Access-Control-Allow-Credentials: fals	Evita que s'enviïn cookies
Autenticació de galetes de sessió	Access-Control-Allow-Credentials: cert	Permet enviar cookies
Punts finals públics	Accés-Control-Permetre-Origen: *	Utilitzeu comodins només per a dades no sensibles

Gestió del cicle de vida dels testimonis

Minimitzeu el risc de comprometre els testimonis gestionant el seu cicle de vida de manera eficaç:

• Estableix temps de caducitat (de 15 a 60 minuts per als testimonis d'accés és habitual).
• Gireu fitxes després d'accions sensibles.
• Mantenir una llista negra del costat del servidor per a fitxes revocades.
• Utilitzeu la caducitat lliscant per als testimonis d'actualització, però establiu un límit de vida útil absolut.

Aquests passos ajuden a garantir que els testimonis siguin de curta durada i siguin més difícils d'explotar.

Comprovacions de testimonis del costat del servidor

1. Validació de l'origen

Comproveu les capçaleres Origen i Referer amb la vostra llista blanca de confiança per reforçar els controls d'origen.

2. Verificació de l'estructura del testimoni

Assegureu-vos que les fitxes coincideixen amb el format esperat i inclouen totes les reclamacions necessàries abans de processar-les.

3. Verificació de signatura

Per als testimonis JWT, verifiqueu la signatura mitjançant la clau secreta del vostre servidor per detectar la manipulació.

4. Validació de reclamacions

Valideu les afirmacions clau com ara:

• Caducitat (exp)
• Emès a (iat)
• Públic (aud)
• Emissor (iss)

5. Verificació de permís

Confirmeu que l'abast del testimoni coincideix amb els permisos necessaris per a l'operació sol·licitada.

sbb-itb-59e1987

Errors de seguretat CORS a evitar

Per protegir els vostres testimonis i mantenir una seguretat sòlida, és fonamental evitar errors habituals de configuració de CORS. Un problema important sorgeix en combinar els comodins amb les credencials. Aquesta configuració està bloquejada pels navegadors a causa dels riscos de seguretat.

// Configuració no segura: els navegadors rebutjaran aquest Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true 

Un enfocament més segur és definir orígens específics quan s'utilitzen credencials:

// Configuració segura Access-Control-Allow-Origin: https://trusted-app.com Access-Control-Allow-Credentials: true 

Quan treballeu amb dades sensibles o testimonis d'autenticació, declareu sempre els orígens específics. Això ajuda a prevenir l'accés no autoritzat. A més, exploreu les opcions d'allotjament empresarial que poden reforçar encara més la seguretat del vostre testimoni CORS.

Seguretat CORS a l'allotjament empresarial

La protecció dels intercanvis de testimonis sensibles en entorns empresarials requereix una configuració d'allotjament sòlida. L'allotjament empresarial es basa en pràctiques de seguretat estàndard afegint proteccions físiques i a nivell de xarxa per salvaguardar els testimonis CORS.

Funcions de seguretat del proveïdor d'allotjament

La seguretat dels testimonis CORS comença amb les funcions d'allotjament clau. Una combinació de tallafocs de maquinari i programari actua com a primera defensa contra l'accés no autoritzat. En temps real monitorització de la xarxa també és essencial per identificar i abordar ràpidament les amenaces.

Aquests són alguns elements d'infraestructura crítics per assegurar els testimonis CORS:

Característica	Prestació de seguretat
Protecció DDoS	Protegeix els serveis de les interrupcions durant els intercanvis de fitxes
Centres de dades geogràficament redundants	Proporciona redundància per garantir una validació ininterrompuda del testimoni
Suport de certificat SSL	Aplica connexions HTTPS xifrades
Monitorització de la xarxa 24/7	Identifica l'activitat de testimoni inusual en temps real
Còpies de seguretat automatitzades	Protegeix les configuracions de testimoni i la configuració de seguretat

Aquestes funcions creen una base sòlida per a la seguretat del testimoni CORS, com ho demostren proveïdors com Serverion.

ServidorEines de seguretat CORS de

Serverion ofereix una infraestructura segura dissenyada per al maneig de testimonis sensibles. El seu sistema de protecció DDoS, capaç de mitigar atacs de fins a 4 Tbps, garanteix que els punts finals de validació de testimonis romanguin en línia i funcionin.

Amb una xarxa que abasta 37 centres de dades, Serverion garanteix la redundància i el manteniment 99.99% temps de funcionament, fonamental per a les aplicacions web que es basen en l'autenticació de testimoni entre orígens.

Les mesures de seguretat clau proporcionades per Serverion inclouen:

• Monitorització de la xarxa en temps real per detectar i respondre ràpidament a les amenaces
• Múltiples còpies de seguretat diàries per assegurar les configuracions de testimoni
• Tallafocs avançats per protegir els sistemes de validació de testimonis
• Integració del certificat SSL per a intercanvis de testimonis xifrats

Aquestes eines garanteixen una seguretat de testimoni fiable per a les aplicacions, amb el suport d'assistència tècnica les 24 hores del dia, els 7 dies de la setmana i actualitzacions contínues per abordar les amenaces emergents.

Conclusió

La seguretat dels fitxes CORS requereix una combinació de mesures tècniques precises i una infraestructura sòlida i fiable. Les estratègies que es discuteixen en aquesta guia, que van des dels estrictes controls d'accés a l'origen fins a la gestió eficaç del cicle de vida dels testimonis, formen la columna vertebral d'una configuració segura per compartir recursos entre orígens. En conjunt, aquestes pràctiques creen un marc de seguretat sòlid.

La infraestructura de Serverion, amb la seva centres de dades globals, el temps d'activitat 99.99% i la protecció DDoS avançada serveixen com un exemple clar de com una infraestructura fiable reforça la seguretat.

Per mantenir la seguretat del testimoni CORS, centreu-vos en aquestes àrees clau:

• Mesures tècniques: Configureu les capçaleres CORS correctament, apliqueu HTTPS estrictament i assegureu-vos d'una validació completa del testimoni.
• Fiabilitat de la infraestructura: Ús solucions d'allotjament a nivell empresarial amb funcions de seguretat avançades i redundància.
• Seguiment actiu: Feu un seguiment continu dels intercanvis de testimonis i respon ràpidament a possibles amenaces.

A mesura que evolucionen els estàndards de seguretat web, l'associació amb proveïdors d'allotjament de confiança és cada cop més important. Les seves eines i recursos avançats mostren com una infraestructura sòlida admet directament una gestió segura de testimonis CORS.

Assolir la seguretat a llarg termini dels testimonis CORS requereix actualitzacions coherents, un seguiment actiu i un manteniment continu. Seguint aquestes pràctiques i utilitzant solucions d'allotjament fiables, les organitzacions poden garantir una protecció duradora per compartir recursos entre orígens.

Preguntes freqüents

Per què hauríeu d'evitar utilitzar comodins amb credencials a la configuració de CORS?

Ús de comodins (*) a les configuracions CORS, mentre que permetre les credencials, pot crear riscos de seguretat greus. Aquesta configuració permet sol·licituds de qualsevol origen, que podrien exposar involuntàriament dades sensibles a fonts no autoritzades o malicioses.

Per a les implementacions de CORS segures, definiu sempre orígens de confiança específics en lloc d'utilitzar comodins. Això garanteix que només els dominis autoritzats puguin accedir als vostres recursos, reduint la probabilitat d'infraccions de dades o d'accés no autoritzat.

Per què és important utilitzar HTTPS per assegurar els testimonis CORS?

Utilitzant HTTPS és essencial per assegurar els testimonis CORS perquè xifra les dades transmeses entre el client i el servidor. Això evita que els atacants interceptin o manipulin informació sensible, incloses les fitxes, durant la transmissió.

A més, HTTPS garanteix l'autenticitat del servidor, reduint el risc d'atacs man-in-the-middle. Amb la implementació d'HTTPS, creeu un entorn segur que ajuda a protegir els testimonis CORS perquè no es vegin compromesos.

Quins són els avantatges de gestionar els cicles de vida dels testimonis i com ho podeu fer de manera eficaç?

La gestió del cicle de vida dels fitxes és crucial per mantenir-les seguretat i garantir un bon funcionament en escenaris d'intercanvi de recursos entre orígens (CORS). La gestió adequada del cicle de vida ajuda a reduir el risc d'accés no autoritzat, ús indegut del testimoni i possibles incompliments de seguretat.

Per implementar-ho de manera eficaç, tingueu en compte aquestes pràctiques clau:

• Estableix la caducitat del testimoni: Utilitzeu fitxes de curta durada amb temps de caducitat definits per limitar la seva usabilitat si es veuen compromeses.
• Gira les fitxes amb regularitat: Actualitzeu periòdicament fitxes per reduir l'exposició a vulnerabilitats.
• Revoca immediatament les fitxes compromeses: Implementar mecanismes per invalidar fitxes quan es detecti activitat sospitosa.
• Utilitzeu l'emmagatzematge segur: Emmagatzemeu els testimonis de manera segura, com ara les galetes només HTTP, per evitar l'accés no autoritzat.

Seguint aquests passos, podeu millorar significativament la seguretat i la fiabilitat de les vostres implementacions CORS.

Publicacions de bloc relacionades

• Llista de verificació per a la gestió segura de claus de l'API
• Llista de verificació per a la seguretat de l'API d'emmagatzematge al núvol
• Com protegir les connexions de l'API d'emmagatzematge al núvol
• Rotació de fitxes d'actualització: bones pràctiques per a desenvolupadors