Edge Side Includes 插入

medium Web App Scanning Plugin ID 114398

語系：

概要

說明

Edge Side Includes (ESI) 是一種用於動態 web 內容組件的標記語言。它可讓 Web 開發人員在邊緣伺服器快取部分網頁，進而減少伺服器負載並改善頁面載入時間。不過，若不當實作 ESI，則容易遭受 ESI 插入攻擊。

在 ESI 插入攻擊中，攻擊者會將惡意的 ESI 標籤插入網頁。這些標籤可指示邊緣伺服器納入惡意內容或執行非預期的動作。這可導致數個安全性風險，包括資料洩漏、跨網站指令碼 (XSS) 和任意程式碼執行。

解決方案

若要修復 Edge Side Inclusion (ESI) 插入弱點，請建置嚴格的輸入驗證和清理，以確保只處理乾淨的資料。遵守規格並使用受信任標籤的允許清單，確保 ESI 剖析的安全。部署健全的內容安全性原則 (CSP) 以減輕 XSS 風險，並以最低權限原則操作邊緣伺服器，將其與主應用程式伺服器隔離。