Edge Side Includes (ESI) 是一種用於動態 web 內容組件的標記語言。它可讓 Web 開發人員在邊緣伺服器快取部分網頁,進而減少伺服器負載並改善頁面載入時間。不過,若不當實作 ESI,則容易遭受 ESI 插入攻擊。 在 ESI 插入攻擊中,攻擊者會將惡意的 ESI 標籤插入網頁。這些標籤可指示邊緣伺服器納入惡意內容或執行非預期的動作。這可導致數個安全性風險,包括資料洩漏、跨網站指令碼 (XSS) 和任意程式碼執行。
解決方案
若要修復 Edge Side Inclusion (ESI) 插入弱點,請建置嚴格的輸入驗證和清理,以確保只處理乾淨的資料。遵守規格並使用受信任標籤的允許清單,確保 ESI 剖析的安全。部署健全的內容安全性原則 (CSP) 以減輕 XSS 風險,並以最低權限原則操作邊緣伺服器,將其與主應用程式伺服器隔離。