أنا أحب ذلك عندما تأكل طعام الكلاب الخاص بك!!!.
أصبحت المتصفحات الحديثة، دون ذكر متصفحات بعينها (مثل كروم)، أكثر تشدداً في إعدادات أمان ملفات تعريف الارتباط.
أحد الأمثلة على ذلك هو إعداد ملف تعريف الارتباط SameSite. على سبيل المثال، إذا لم يكن موجودًا في Chrome، فسيستخدم الأسلوب الافتراضي، SameSite=Lax.
ولكن ماذا يحدث إذا كنت لا تريد ذلك؟ الجواب هو تغيير كود تطبيقك ليعكس الإعداد الذي تريد استخدامه. ولكن ماذا يحدث إذا لم تتمكن من القيام بذلك بسهولة؟ قد يكون تطبيقًا قديمًا.
والإجابة هي استخدام ميزات تبديل محتوى مسار رحلة EdgeADC flightPath.
مشكلة ووردبريس WooCommerce سيئة السمعة التي تعمل في إطار
إذن، كانت لدينا مشكلة في تطبيق WordPress الذي نستخدمه يعمل في إطار Iframe. (لا تسأل عن السبب).
كان التطبيق يستخدم ملفات تعريف ارتباط جلسة العمل التي لم يتم تعيين إعداد “نفس الموقع” عليها.
يعمل التطبيق داخل نظام ووردبريس الافتراضي المتوفر داخل حاوية Docker.
لقد بحثنا في عدة طرق لإصلاح ذلك، ولكن لم تعمل التغييرات التي أجريناها بشكل صحيح على جميع ملفات تعريف الارتباط، لذلك قررنا محاولة إصلاحه باستخدام مسار الرحلة.
إذن، هذا ما فعلناه.
لقد أنشأنا قاعدة مسار الرحلة لإضافة نفس الموقع = لا شيء إلى ملفات تعريف الارتباط الثلاثة المخالفة كما هو موضح أدناه.
قاعدة مسار الرحلة الأولى التي سننشئها هي:
بعد ذلك، سننشئ الثاني.
وأخيراً، ننشئ الأخير. هذا له تعريف مختلف قليلاً كما ترى. لقد أضفنا حرف البدل (*) لأننا لا نعرف ما هي هذه القيمة، حيث يقوم WordPress / WooCommerce بتعيين قيمة عشوائية.
في هذه المرحلة، ستقول لنفسك: “مهلاً! هذا ليس آمنًا عند استخدام حرف البدل! نحن نتفهم أن الموقع أقل أمانًا قليلاً، ولكن:
- كل شيء يعمل باستخدام HTTPS
- نقوم بتشغيل جدار حماية التطبيقات
- يتم تحصينها من خلال حقيقة أنها نظام تشغيل في حاويات، والملفات الرئيسية غير قابلة للتغيير
وفي حالة احتياجك إلى تذكير في نفس الموقع…
ما هو إعداد “نفس الموقع” لملفات تعريف الارتباط؟
يساعد إعداد ملف تعريف الارتباط في نفس الموقع على التحكم في وقت إرسال ملفات تعريف الارتباط مع الطلبات العابرة للمواقع، مما يساعد على الحد من مخاطر هجمات تزوير الطلبات العابرة للمواقع (CSRF). فيما يلي شرح تفصيلي لكيفية عمله:
ما هي الطلبات العابرة للمواقع؟
الطلبات العابرة للمواقع هي الطلبات التي تتم من موقع إلكتروني إلى آخر. على سبيل المثال، إذا قمت بتسجيل الدخول إلى تطبيق ما ونقرت على رابط لمقال إخباري، فهذا طلب عبر الموقع. ببساطة هو طلب يرتبط من موقع إلى موقع آخر.
ما هو إعداد “نفس الموقع”؟
إعداد “نفس الموقع” هو سمة ملف تعريف الارتباط التي يمكن استخدامها للتحكم في إرسال ملف تعريف الارتباط مع الطلبات العابرة للمواقع أم لا. هناك ثلاث قيم ممكنة لإعداد نفس الموقع:
- نفس الموقع = صارم: يتم إرسال ملفات تعريف الارتباط فقط مع الطلبات إلى نفس الموقع الذي قام بتعيينها.
- نفس الموقع = التراخي: يتم إرسال ملفات تعريف الارتباط مع الطلبات إلى نفس الموقع الذي قام بتعيينها، وكذلك الطلبات إلى مواقع الطرف الثالث المضمنة في نفس الصفحة، على سبيل المثال، داخل إطار iFrame.
- نفس الموقع=لا شيء: يتم إرسال ملفات تعريف الارتباط مع جميع الطلبات، بغض النظر عن الموقع الذي قام بتعيينها.
ما أهمية إعداد “نفس الموقع”؟
يعد إعداد SameSite مهمًا لأنه يساعد في التخفيف من مخاطر هجمات تزوير الطلبات عبر المواقع (CSRF). إن هجمات CSRF هي نوع من الهجمات الإلكترونية التي تستغل حقيقة أن متصفح المستخدم قد قام بتسجيل الدخول بالفعل إلى موقع ويب. في هجوم CSRF، يمكن للمهاجم أن يخدع المستخدم لتقديم طلب إلى موقع إلكتروني قام بتسجيل الدخول إليه، حتى لو لم يكن المستخدم ينوي القيام بذلك. يمكن أن يسمح ذلك للمهاجم بسرقة بيانات المستخدم أو تنفيذ إجراءات خبيثة أخرى.
