CORS ポリシーバリデーター

このスキルは、CORS ポリシーバリデーションタスクのための自動化された支援を提供します。

概要

このスキルにより、Claude は CORS ポリシーのセキュリティと正確性を評価できます。cors-policy-validator プラグインを活用することで、CORS 設定の誤設定と潜在的な脆弱性を特定し、開発者がより安全なウェブアプリケーションを構築するのに役立ちます。

動作方法

1. CORS 設定の分析: スキルは、ヘッダーやポリシーファイルなどの CORS 設定詳細を受け取ります。
2. ポリシーの検証: cors-policy-validator プラグインを活用して、提供された設定を確立されたセキュリティベストプラクティスに対して分析します。
3. 結果の報告: スキルは、CORS ポリシーで特定された脆弱性または誤設定の詳細な報告書を提示します。

このスキルを使用する場合

このスキルは、以下が必要な場合に起動します:

• ウェブアプリケーションの CORS ポリシーを検証する。
• API エンドポイントの CORS 設定を確認する。
• 既存の CORS 実装の潜在的なセキュリティ脆弱性を特定する。

例

例 1: CORS ポリシーファイルの検証

ユーザーリクエスト: 「cors_policy.json の CORS ポリシーを検証してください」

スキルは以下を実行します:

1. cors_policy.json ファイルを読み込みます。
2. cors-policy-validator プラグインを使用して CORS 設定を分析します。
3. 特定された脆弱性または誤設定の詳細を記載した報告書を出力します。

例 2: API エンドポイントの CORS ヘッダーの確認

ユーザーリクエスト: 「https://example.com/api の API エンドポイントの CORS ヘッダーを確認してください」

スキルは以下を実行します:

1. 指定された API エンドポイントから CORS ヘッダーを取得します。
2. cors-policy-validator プラグインを使用してヘッダーを分析します。
3. CORS 設定と潜在的な問題をまとめた報告書を出力します。

ベストプラクティス

• 設定ソース: 正確な検証のために、常に CORS 設定のソース(例: ファイルパス、URL)を指定してください。
• 定期的な検証: アプリケーションまたは API に変更を加えた後など、CORS ポリシーを定期的に検証してください。
• ヒューリスティック分析: 微妙な脆弱性を検出するために、検証を手動レビューとヒューリスティック分析で補完することを検討してください。

統合

このスキルは、他のセキュリティ関連プラグインと統合して、より包括的なセキュリティ評価を提供できます。例えば、脆弱性スキャンツールと組み合わせて、CORS 誤設定に関連するクロスサイトスクリプティング(XSS)脆弱性を特定するために使用できます。

前提条件

• {baseDir}/ のコードベースと設定ファイルへのアクセス
• 必要に応じてセキュリティスキャンツールがインストールされていること
• セキュリティ標準とベストプラクティスの理解
• セキュリティ分析操作の権限

手順

1. セキュリティスキャンの範囲とターゲットを特定する
2. スキャンパラメータと閾値を設定する
3. セキュリティ分析を体系的に実行する
4. 脆弱性とコンプライアンスギャップについて結果を分析する
5. 重要度と影響により問題を優先順位付けする
6. 改善手順を含む詳細なセキュリティレポートを生成する

出力

• 脆弱性詳細を含むセキュリティスキャン結果
• 標準別のコンプライアンスステータスレポート
• 重要度別に優先順位付けされたセキュリティ問題のリスト
• コード例を含む改善推奨事項
• ステークホルダー向けのエグゼクティブサマリー

エラーハンドリング

セキュリティスキャンが失敗した場合:

• ツールのインストールと設定を確認する
• ファイルとディレクトリのアクセス許可を確認する
• スキャンターゲットパスを検証する
• ツール固有のエラーメッセージを確認する
• 依存関係チェックのためのネットワークアクセスを確保する

リソース

• セキュリティ標準ドキュメント(OWASP、CWE、CVE)
• コンプライアンスフレームワークガイドライン(GDPR、HIPAA、PCI-DSS)
• セキュリティスキャンツールドキュメント
• 脆弱性改善のベストプラクティス