Ana Karargâh Neler Yapıyoruz?

Dijital Pazarlama

Arama Motoru Optimizasyonu İçerik pazarlama stratejileri Sosyal medya yönetimi ve danışmanlığı E-posta pazarlama kampanyaları Google Ads ve sosyal medya reklamcılığı Dijital gerilla marketing

Web Hizmetleri

E-ticaret siteleri Portfolyo siteleri Kurumsal web siteleri Landing page'ler Özel Web Projeleri Web tabanlı mobil uygulamalar Teknik destek ve geliştirme Hız optimizasyonu ve İyileştirme

Yapay Zeka ve Veri Senkanisazyon

AI İçerik Üretimi Akıllı Chatbot Geliştirme Ai Analitik Hizmetleri Otomatik Veri Sınıflandırma Veri toplama hizmetleri

Barındırma ve Diğerleri

Alan Adı Hizmetleri Barındırma Hizmetleri SSL Hizmetleri E-posta Hizmetleri
Hikayemizin Perde Arkası Beyin Kıvılcımları Bağlantıya Geçin

XSS Auditor ve Content-Security-Policy-Report-Only Kullanımı

Yazar: Leoliva Yayınlama Tarihi: 18 Ekim 2024

Merhaba değerli okuyucular! Bugün, web güvenliğinin önemli iki bileşeni olan XSS Auditor ve Content-Security-Policy-Report-Only hakkında detaylı bir inceleme yapacağız. Bu güvenlik önlemlerinin nasıl çalıştığını, nasıl uygulanacağını ve web uygulamalarınızı nasıl daha güvenli hale getirebileceğini ele alacağız. Hazırsanız, güvenlik dünyasının bu önemli konularına dalalım!

XSS Auditor Nedir?

XSS Auditor, tarayıcı tabanlı bir güvenlik özelliğidir ve Cross-Site Scripting (XSS) saldırılarını önlemeye yardımcı olur. Özellikle Chrome ve diğer Chromium tabanlı tarayıcılarda bulunur.

XSS Auditor'ün Çalışma Prensibi:

  1. Gelen HTTP yanıtlarını inceler
  2. Potansiyel XSS yüklerini tespit eder
  3. Şüpheli içeriği engeller veya temizler

XSS Auditor'ü Etkinleştirme:

XSS Auditor, HTTP başlığı ile kontrol edilebilir:


X-XSS-Protection: 1; mode=block

Bu başlık, XSS Auditor'ü etkinleştirir ve potansiyel XSS saldırılarını engeller.

XSS Auditor Kullanım Örneği (Node.js/Express):


const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.setHeader('X-XSS-Protection', '1; mode=block');
    next();
});

app.get('/', (req, res) => {
    res.send('Hello, secure world!');
});

app.listen(3000, () => console.log('Server running on port 3000'));

XSS Auditor'ün Sınırlamaları

XSS Auditor etkili bir araç olsa da, bazı sınırlamaları vardır:

  • Tüm XSS saldırı vektörlerini tespit edemeyebilir
  • Bazı durumlarda yanlış pozitiflere neden olabilir
  • Modern tarayıcılarda kaldırılma eğilimindedir (örneğin, Chrome 78'den itibaren varsayılan olarak devre dışı bırakıldı)

Content-Security-Policy-Report-Only Nedir?

Content-Security-Policy-Report-Only, normal Content Security Policy (CSP) başlığının bir varyasyonudur. Bu başlık, CSP ihlallerini uygulamak yerine sadece raporlar, böylece mevcut web uygulamanızı bozmadan CSP kurallarınızı test edebilirsiniz.

CSP-Report-Only'nin Avantajları:

  • Mevcut uygulamayı etkilemeden CSP kurallarını test etme
  • Potansiyel güvenlik sorunlarını tespit etme
  • Aşamalı CSP uygulaması için ideal

CSP-Report-Only Kullanım Örneği:


Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://trusted-cdn.com; report-uri /csp-violation-report-endpoint;

Bu başlık, belirtilen kuralları uygular ve ihlalleri '/csp-violation-report-endpoint' adresine raporlar.

Node.js/Express ile CSP-Report-Only Uygulaması:


const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.setHeader(
        'Content-Security-Policy-Report-Only',
        "default-src 'self'; script-src 'self' https://trusted-cdn.com; report-uri /csp-violation-report-endpoint;"
    );
    next();
});

app.post('/csp-violation-report-endpoint', (req, res) => {
    console.log('CSP Violation:', req.body);
    res.status(204).end();
});

app.get('/', (req, res) => {
    res.send('Hello, CSP world!');
});

app.listen(3000, () => console.log('Server running on port 3000'));

CSP-Report-Only İle İhlal Raporlarını İşleme

CSP ihlal raporlarını işlemek için bir endpoint oluşturmanız gerekir. İşte basit bir örnek:


app.post('/csp-violation-report-endpoint', express.json({ type: 'application/csp-report' }), (req, res) => {
    const report = req.body['csp-report'];
    console.log('CSP Violation:');
    console.log('Violated directive:', report['violated-directive']);
    console.log('Blocked URI:', report['blocked-uri']);
    console.log('Document URI:', report['document-uri']);
    // Burada raporu loglayabilir veya bir veritabanına kaydedebilirsiniz
    res.status(204).end();
});

XSS Auditor ve CSP-Report-Only'yi Birlikte Kullanma

XSS Auditor ve CSP-Report-Only'yi birlikte kullanarak, web uygulamanızın güvenliğini daha da artırabilirsiniz:


const express = require('express');
const app = express();

app.use((req, res, next) => {
    // XSS Auditor'ü etkinleştir
    res.setHeader('X-XSS-Protection', '1; mode=block');
    
    // CSP-Report-Only başlığını ayarla
    res.setHeader(
        'Content-Security-Policy-Report-Only',
        "default-src 'self'; script-src 'self' https://trusted-cdn.com; report-uri /csp-violation-report-endpoint;"
    );
    
    next();
});

// CSP ihlal raporları için endpoint
app.post('/csp-violation-report-endpoint', express.json({ type: 'application/csp-report' }), (req, res) => {
    const report = req.body['csp-report'];
    console.log('CSP Violation:', report);
    res.status(204).end();
});

app.get('/', (req, res) => {
    res.send('Hello, secure world!');
});

app.listen(3000, () => console.log('Server running on port 3000'));

Best Practices

  1. Aşamalı Uygulama: CSP kurallarını önce Report-Only modunda test edin, sonra tam CSP'ye geçin.
  2. Düzenli İzleme: CSP ihlal raporlarını düzenli olarak inceleyin ve gerektiğinde kuralları güncelleyin.
  3. Sıkı Kurallar: Mümkün olduğunca sıkı CSP kuralları uygulayın, 'unsafe-inline' ve 'unsafe-eval' kullanımından kaçının.
  4. XSS Auditor'e Güvenmeyin: XSS Auditor'ü bir ek güvenlik katmanı olarak düşünün, tek başına yeterli değildir.
  5. Diğer Güvenlik Önlemleri: XSS Auditor ve CSP'yi diğer güvenlik önlemleriyle (input validasyonu, output encoding vb.) birlikte kullanın.

Çok Katmanlı Güvenlik Yaklaşımı

XSS Auditor ve Content-Security-Policy-Report-Only, web uygulamalarınızın güvenliğini artırmak için güçlü araçlardır. Ancak, bunları tek başlarına kullanmak yerine, kapsamlı bir güvenlik stratejisinin parçası olarak düşünmek önemlidir.

İşte güvenlik önlemlerini yönetmek için genel bir sınıf yapısı:


class SecurityManager {
    constructor() {
        this.headers = {
            'X-XSS-Protection': '1; mode=block',
            'Content-Security-Policy-Report-Only': "default-src 'self'; script-src 'self' https://trusted-cdn.com; report-uri /csp-violation-report-endpoint;"
        };
    }

    applySecurityHeaders(res) {
        Object.entries(this.headers).forEach(([header, value]) => {
            res.setHeader(header, value);
        });
    }

    handleCSPViolation(report) {
        console.log('CSP Violation:', report);
        // Burada raporu loglayabilir veya bir veritabanına kaydedebilirsiniz
    }

    configureApp(app) {
        app.use((req, res, next) => {
            this.applySecurityHeaders(res);
            next();
        });

        app.post('/csp-violation-report-endpoint', express.json({ type: 'application/csp-report' }), (req, res) => {
            this.handleCSPViolation(req.body['csp-report']);
            res.status(204).end();
        });
    }
}

// Kullanım
const express = require('express');
const app = express();
const securityManager = new SecurityManager();

securityManager.configureApp(app);

app.get('/', (req, res) => {
    res.send('Hello, secure world!');
});

app.listen(3000, () => console.log('Server running on port 3000'));

Bu yapı, güvenlik başlıklarını ve CSP ihlal raporlama mantığını merkezi bir yerde yönetmenize olanak tanır.

Siz web uygulamalarınızda XSS Auditor ve CSP-Report-Only kullanıyor musunuz? Başka hangi güvenlik önlemlerini alıyorsunuz? Deneyimlerinizi ve düşüncelerinizi yorumlarda paylaşın!

Güvenli kodlamalar ve her zaman korumalı uygulamalar!

← Önceki Yazı Sonraki Yazı →