הגדרת סריקות מותאמות אישית באמצעות Web Security Scanner

אפשר לתזמן ולהריץ סריקות בהתאמה אישית באפליקציה שפרסתם באמצעות Web Security Scanner במסוף Google Cloud . Web Security Scanner תומך בסריקות של כתובות IP וכתובות URL ציבוריות שלא מוסתרות מאחורי חומת אש.

לפני שמתחילים

כדי להגדיר סריקות מותאמות אישית באמצעות Web Security Scanner:

  • צריכה להיות לכם אפליקציה שפרוסה בכתובת IP או בכתובת URL ציבורית. Web Security Scanner תומך רק באתרים שמשתמשים ב-IPv4. אתרים שמשתמשים ב-IPv6 לא נסרקים.
  • צריך להפעיל את Security Command Center.

לפני הסריקה, חשוב לבדוק בקפידה את האפליקציה כדי לוודא שאין בה תכונות שיכולות להשפיע על נתונים, משתמשים או מערכות מחוץ להיקף הסריקה שבחרתם.

כדאי להשתמש ב-Web Security Scanner בזהירות, כי הוא ממלא שדות, לוחץ על כפתורים, לוחץ על קישורים ומבצע פעולות אינטראקטיביות אחרות. Web Security Scanner יכול להפעיל תכונות שישנו את מצב הנתונים או המערכת שלכם, עם תוצאות לא רצויות. לדוגמה:

  • באפליקציית בלוג שמאפשרת תגובות ציבוריות, יכול להיות ש-Web Security Scanner יפרסם מחרוזות בדיקה כתגובות לכל המאמרים בבלוג.
  • בדף הרשמה לאימייל, יכול להיות ש-Web Security Scanner ייצור מספרים גדולים של אימיילים לבדיקה.

לקבלת טיפים לצמצום הסיכון, כדאי לעיין בשיטות המומלצות למניעת השלכות לא רצויות.

הפעלת Web Security Scanner

מפעילים את Web Security Scanner ב-Security Command Center כדי ליצור ולהריץ סריקות בהתאמה אישית.

אם Security Command Center פעיל, אפשר להפעיל את Web Security Scanner במסוף Google Cloud בדף הגדרות של Security Command Center

שלב 1: פריסת אפליקציית בדיקה

כדי להשלים את ההגדרה של סריקות מותאמות אישית ב-Web Security Scanner, צריך את כתובת ה-URL של אפליקציית Compute Engine,‏ Google Kubernetes Engine‏ (GKE) או App Engine שכבר נפרסה. אם אין לכם אפליקציה פרוסה, או אם אתם רוצים לנסות את Web Security Scanner עם אפליקציית בדיקה, אתם צריכים לפרוס את אפליקציית הבדיקה של App Engine. להשתמש בשפה שבחרתם:

שלב 2: הקצאת תפקידי IAM

כדי להריץ סריקה באמצעות Web Security Scanner, צריך להיות לכם אחד מתפקידי ניהול הזהויות והרשאות הגישה (IAM) הבאים בפרויקט שאתם רוצים לסרוק:

  • עריכה
  • בעלים

כדי להוסיף אחד מהתפקידים האלה:

  1. נכנסים לדף IAM & Admin במסוףGoogle Cloud .

    כניסה לדף IAM & Admin

  2. לוחצים על הרשימה הנפתחת Project selector.

  3. בתיבת הדו-שיח Select from שמופיעה, בוחרים את הפרויקט שרוצים לסרוק באמצעות Web Security Scanner.

  4. בדף IAM, לצד שם המשתמש, לוחצים על עריכה.

  5. בחלונית Edit permissions שמופיעה, לוחצים על Add another role ובוחרים באחד מהתפקידים הבאים:

    • Project‏ > Owner
    • Project‏ > Editor

  6. כשמסיימים להוסיף תפקידים, לוחצים על Save.

מידע נוסף על תפקידים ב-Web Security Scanner

שלב 3: הפעלת סריקה

כשמגדירים סריקה, היא מתווספת לתור להפעלה מאוחר יותר. בהתאם לעומס הנוכחי, יכול להיות שיחלפו כמה שעות עד שהסריקה תתבצע. כדי ליצור, לשמור ולהריץ סריקה:

  1. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  2. בוחרים את הפרויקט שמכיל את האפליקציה שרוצים לסרוק.

  3. כדי להגדיר סריקה חדשה, לוחצים על סריקה חדשה:

  4. בדף Create a new scan שנטען, מגדירים את הערכים הבאים:

    1. בקטע Starting URLs (כתובות URL להתחלה), מזינים את כתובת ה-URL של האפליקציה שרוצים לסרוק.
    2. בקטע תזמון, בוחרים באפשרות שבועי.
    3. בקטע הפעלה הבאה בתאריך, בוחרים תאריך.

    התיבה ייצוא אל Security Command Center מסומנת אוטומטית. אם הפעלתם את Web Security Scanner כמקור אבטחה של Security Command Center, תוצאות הסריקה מופיעות בדף Findings במסוף Google Cloud .

    לסריקה הראשונה הזו, משתמשים בסריקת ברירת המחדל בלי לשנות ערכים אחרים בדף יצירת סריקה חדשה. מידע נוסף על הגדרות הסריקה זמין במאמר סריקת אפליקציה.

  5. כדי ליצור את הסריקה, לוחצים על שמירה.

  6. בדף Web Security Scanner, לוחצים על שם הסריקה כדי לטעון את דף הסקירה הכללית שלה, ואז לוחצים על Run scan (הפעלת הסריקה).

    הסריקה תתווסף לתור ותופעל במועד מאוחר יותר. יכול להיות שיחלפו כמה שעות עד שהסריקה תפעל.

  7. כשסריקה מסתיימת, קטע התוצאות מוצג בדף הסקירה הכללית של הסריקה. בתמונה הבאה מוצגות תוצאות סריקה לדוגמה כשלא זוהו פגיעויות:

    אם הפעלתם את Web Security Scanner כמקור אבטחה של Web Security Scanner , תוצאות הסריקה מוצגות גם במסוף Google Cloud .

    כדי להציג פרטים על ממצא ספציפי, לוחצים על שם הממצא בתוצאות הסריקה.

סיימתם לבצע סריקה בסיסית באמצעות Web Security Scanner. אם סרקתם את האפליקציה שלכם, בקטע סריקת אפליקציה בדף הזה מוסבר איך להתאים אישית את הסריקה.

אם פרסתם אפליקציית בדיקה כדי להריץ את הסריקה, צריך לבצע את שלב הניקוי שבדף הזה כדי להימנע מחיובים על האפליקציה ב-App Engine.

שלב 4: ניקוי

  1. במסוף Google Cloud , נכנסים לדף Manage resources.

    כניסה לדף Manage resources

  2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על Delete.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

סריקת אפליקציה

מגדירים סריקה מותאמת אישית לאפליקציה באמצעות חשבון בדיקה.

שלב 1: יצירת חשבון לבדיקה

כשסורקים את האפליקציה, מומלץ להשתמש בחשבון בדיקה שאין לו גישה למידע אישי רגיש או לפעולות מזיקות. יוצרים חשבון בדיקה שאפשר להיכנס איתו לאפליקציה. חשוב לשמור את פרטי הכניסה כדי לספק אותם לאימות כשיוצרים סריקה. פרטי הכניסה מאפשרים לכם להשתמש בחשבון הבדיקה כדי לסרוק נתונים.

שלב 2: יצירת סריקה

  1. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  2. לוחצים על Select (בחירה) ואז בוחרים פרויקט שכבר יש בו אפליקציה שפריסתה בוצעה ב-App Engine, ב-Compute Engine או ב-GKE.

  3. כדי להציג את טופס הסריקה החדש, לוחצים על יצירת סריקה או על סריקה חדשה.

  4. כדי להוסיף ערכים לטופס הסריקה החדש, אפשר להשתמש בטבלה הבאה בתור מדריך:

    שדה תיאור
    כתובות URL להתחלה

    בדרך כלל, באתר בסיסי נדרשת רק כתובת URL אחת להתחלה, כמו דף הבית, הדף הראשי או דף הנחיתה של האתר, שממנה Web Security Scanner יכול למצוא את כל שאר הדפים באתר. עם זאת, יכול להיות ש-Web Security Scanner לא ימצא את כל הדפים אם באתר יש:

    • דפים רבים
    • איי דפים לא מקושרים
    • ניווט שדורש JavaScript מורכב, כמו תפריט רב-רמות שמופעל כשמעבירים את העכבר מעליו

    במקרים כאלה, כדאי לציין עוד כתובות URL להתחלה כדי להגדיל את כיסוי הסריקה.

    כתובות URL מוחרגות כדי לצמצם את המורכבות, ההחרגות מוגדרות באמצעות שפת פרוטו פשוטה, עם שימוש בתו כללי אחד או יותר מסוג *, במקום בדרישה לביטוי רגולרי תקין. פרטים נוספים ודוגמאות לתבניות תקינות מופיעים בהמשך הדף בקטע החרגת כתובות URL.
    אימות > חשבון Google

    אתם יכולים ליצור חשבון בדיקה ב-Gmail ואז להשתמש בחשבון כדי לסרוק את המוצר. אם אתם לקוחות Google Workspace, אתם יכולים ליצור חשבונות בדיקה בדומיין שלכם, לדוגמה, test-account@yourdomain.com. ב-Web Security Scanner, החשבונות האלה פועלים כמו חשבונות Gmail. אין תמיכה באימות דו-שלבי.

    ‫Google אוכפת מדיניות בנושא שימוש בשם האמיתי בחשבונות Google. אם השם בחשבון הבדיקה לא נראה אמיתי, יכול להיות שהחשבון ייחסם.

    אימות > שרת proxy לאימות זהויות (IAP) בגרסת אלפא

    כדי להגן על משאבים באמצעות שרת proxy לאימות זהויות (IAP), אפשר לעיין במדריך ל-IAP.

    כדי להשתמש ב-Web Security Scanner עם משאב שמוגן על ידי IAP, קודם צריך להעניק גישה לחשבון השירות של Web Security Scanner:

    1. נכנסים לדף IAP במסוף Google Cloud .
    2. בוחרים את הפרויקט שרוצים להשתמש בו עם Web Security Scanner.
    3. בוחרים את משאב האפליקציה שרוצים לסרוק ולוחצים על הוספת גורם מרכזי בחלונית המידע.
    4. בתיבה New principals בחלונית Add principals, מזינים את חשבון השירות של Web Security Scanner בפורמט service-project-number@gcp-sa-websecurityscanner.iam.gserviceaccount.com.
    5. בתפריט הנפתח Select a role בוחרים באפשרות Cloud IAP > IAP Secured Web App User.
    6. כשמסיימים להוסיף תפקידים, לוחצים על Save.

    לאחר מכן, מוסיפים את מזהה הלקוח ב-OAuth לסריקה. ‫Web Security Scanner יכול לסרוק רק אפליקציות שמוגנות על ידי מזהה לקוח OAuth יחיד. כדי להוסיף את מזהה הלקוח ב-OAuth:

    1. נכנסים לדף IAP במסוף Google Cloud .
    2. בוחרים את הפרויקט שרוצים להשתמש בו עם Web Security Scanner.
    3. בתפריט אפשרויות נוספות, בוחרים באפשרות עריכת לקוח OAuth.
    4. בחלון Client ID for web application שמופיע, מעתיקים את Client ID.
    5. נכנסים לדף Web Security Scanner במסוף Google Cloud .
    6. בקטע אימות, בוחרים באפשרות Identity-Aware Proxy alpha.
    7. בתיבה מזהה לקוח OAuth2, מדביקים את מזהה הלקוח ב-OAuth שהעתקתם, ואז לוחצים על שמירה.
    אימות > חשבון לא של Google

    בוחרים באפשרות הזו אם יצרתם מערכת אימות משלכם ואתם לא משתמשים בשירותים של חשבון Google. מציינים את כתובת ה-URL של טופס ההתחברות, את שם המשתמש ואת הסיסמה. פרטי הכניסה האלה משמשים לכניסה לאפליקציה ולסריקה שלה.

    ‫Web Security Scanner מנסה להשתמש בהיוריסטיקה כדי להיכנס לאפליקציה ולסרוק אותה. בשיטה הזו מחפשים טופס התחברות עם שני שדות, username ו-password. פעולת הכניסה צריכה להוביל ליצירת קובץ Cookie לאימות, כדי שהסורק יוכל להמשיך בסריקה.

    בעיות נפוצות שיכולות לגרום לכך שהתחברות מותאמת אישית תיכשל:

    • שימוש בשדות לא סטנדרטיים בטופס HTML, למשל, לא שימוש בסוג password.
    • לדוגמה, טופס כניסה מסובך, כלומר טופס שיש בו יותר משדה אחד של username ו-password.
    • קובץ ה-Cookie לאימות לא נשמר אחרי כניסה מוצלחת.
    • במצבים מסוימים, אמצעי נגד שנועדו להגן מפני בוטים, התקפות DDoS והתקפות אחרות חוסמים את הסורק.

    מומלץ להשתמש בשילוב של שרת proxy לאימות זהויות (IAP) כדי לקבל את החוויה העקבית ביותר עם סריקה מאומתת של אפליקציות.

    לוח זמנים אפשר להגדיר את הסריקה כך שתפעל מדי יום, מדי שבוע, אחת לשבועיים או אחת לארבעה שבועות. מומלץ ליצור סריקה מתוזמנת כדי לוודא שגרסאות עתידיות של האפליקציה ייבדקו. בנוסף, מדי פעם אנחנו משיקים סורקים חדשים שמאתרים סוגים חדשים של באגים, ולכן הפעלת סריקה מתוזמנת מאפשרת כיסוי רחב יותר ללא מאמץ ידני.
    הפעלת סריקות מקבוצה מוגדרת מראש של כתובות IP של מקורות (תצוגה מקדימה) בוחרים באפשרות הזו כדי להגביל את תנועת הסריקה לקבוצה מוגדרת מראש של כתובות IP. האפשרות הזו מאפשרת לסורק לגשת לאפליקציות שנמצאות מאחורי חומת אש, אבל היא עלולה להגביל את היקף הסריקה. כדי לשנות את הכללים של חומת האש כך שיאפשרו תעבורה של Web Security Scanner, אפשר לעיין בקטע הגדרת חומת האש בהמשך הדף.
    אפשרויות ייצוא בוחרים באפשרות הזו כדי לייצא באופן אוטומטי את הגדרות הסריקה ואת תוצאות הסריקה אל Security Command Center.
    התעלמות משגיאות סטטוס HTTP האפשרות הזו קובעת אם מספר גבוה של שגיאות סטטוס HTTP – למשל, **400 בקשה לא תקינה** – במהלך סריקה יגרמו לדיווח על הסריקה ככשל. אם האפשרות נבחרה, המערכת מתעלמת משגיאות סטטוס. אם האפשרות לא נבחרה ואחוז שגיאות הסטטוס חורג מסף שנקבע מראש, הסריקה מדווחת ככשל.

  5. כשמסיימים להוסיף ערכים, לוחצים על שמירה. עכשיו אפשר להריץ את הסריקה החדשה.

כברירת מחדל, Web Security Scanner משתמש בכתובות IP שהוקצו באופן אקראי במהלך כל הרצה. כדי שכתובות ה-IP של Web Security Scanner יהיו צפויות, צריך לבצע את השלבים להפעלת סריקות מכתובות IP סטטיות בהמשך הדף הזה.

שלב 3: הפעלת סריקה

כדי להריץ סריקה:

  1. נכנסים לחשבון הבדיקה שבו השתמשתם כדי ליצור את הסריקה.

  2. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  3. לוחצים על בחירה ואז בוחרים את הפרויקט שבו יצרתם את הסריקה.

  4. בקטע Scan configs, לוחצים על השם של הסריקה שרוצים להפעיל.

  5. בדף הפרטים של הסריקה, לוחצים על הפעלה.

הסריקה מתווספת לתור, ויכול להיות שיחלוף זמן עד שהיא תתבצע. ההפעלה יכולה להימשך כמה דקות או כמה שעות, בהתאם לעומס המערכת ולתכונות כמו:

  • מורכבות האתר
  • מספר הרכיבים שניתן לבצע בהם פעולה בכל דף
  • מספר הקישורים
  • כמות ה-JavaScript באתר, כולל ניווט

אפשר להגדיר ולהריץ עד 10 סריקות שונות לפני שצריך למחוק או לנקות תוצאות שנשמרו קודם.

צפייה בתוצאות של סריקה מותאמת אישית

הסטטוס והתוצאות של סריקה בהתאמה אישית מוצגים בדף הפרטים של הסריקה במסוף Google Cloud . כדי לראות את תוצאות הסריקה:

  1. נכנסים לחשבון הבדיקה שבו השתמשתם כדי ליצור את הסריקה.

  2. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  3. לוחצים על בחירה ואז בוחרים את הפרויקט שמכיל את הסריקה שרוצים לבדוק.

  4. בקטע Scan configs, לוחצים על שם הסריקה שרוצים לבדוק.

דף הפרטים של הסריקה נטען ומוצגות בו תוצאות מהסריקה האחרונה. אם הסריקה מתבצעת, בכרטיסייה תוצאות מוצג אחוז ההשלמה הנוכחי. כדי להציג תוצאות מסריקות קודמות, בוחרים את התאריך והשעה של הסריקה מהרשימה הנפתחת.

פרטים על סריקות מותאמות אישית שהושלמו:

  • בכרטיסייה Results (תוצאות) מוצגת רשימה של נקודות חולשה שהסריקה מצאה, אם יש כאלה.
  • בכרטיסייה כתובות URL שנסרקו מוצגת רשימה של כתובות URL שהסריקה בדקה.

  • הכרטיסייה פרטים כוללת:

    • כתובות URL להתחלה
    • אימות
    • סוכן משתמש
    • מהירות סריקה מקסימלית כשאילתות לשנייה (QPS)

מידע נוסף על הסריקה זמין בדף היומנים של הפרויקט.

עריכה של סריקה מותאמת אישית

כדי לערוך סריקה בהתאמה אישית:

  1. נכנסים לחשבון הבדיקה שבו השתמשתם כדי ליצור את הסריקה.

  2. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  3. לוחצים על Select ובוחרים את הפרויקט שמכיל את הסריקה שרוצים לערוך.

  4. בקטע Scan configs, לוחצים על השם של הסריקה שרוצים לערוך.

  5. בדף הפרטים של הסריקה שמופיע, לוחצים על עריכה.

  6. בדף עריכת [שם הסריקה] שמופיע, מבצעים את השינויים הרצויים ולוחצים על שמירה.

הסריקה המותאמת אישית הערוכה תופעל בפעם הבאה שהיא מתוזמנת, או שתוכלו להפעיל אותה באופן ידני כדי לקבל תוצאות מעודכנות.

מחיקת סריקה בהתאמה אישית

כדי למחוק סריקה מותאמת אישית אחת או יותר:

  1. נכנסים לחשבון הבדיקה שבו השתמשתם כדי ליצור את הסריקה.

  2. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  3. לוחצים על Select ובוחרים את הפרויקט שמכיל את הסריקה שרוצים לערוך.

  4. בקטע Scan configs (הגדרות סריקה), מסמנים את תיבת הסימון לצד סריקה אחת או יותר שרוצים למחוק.

  5. לוחצים על מחיקה ואז על אישור.

כל הסריקות שבחרתם נמחקות.

הגדרת סריקה מכתובות IP קבועות

בקטע הזה מוסבר איך להפעיל סריקות מותאמות אישית של Web Security Scanner מכתובות IP סטטיות. כשמפעילים את התכונה הזו, Web Security Scanner משתמש בכתובות IP צפויות כדי לסרוק את האפליקציות הציבוריות שלכם ב-Compute Engine וב-Google Kubernetes Engine. התכונה הזו נמצאת בשלב התצוגה המקדימה, ויכול להיות שכתובות ה-IP של Web Security Scanner ישתנו בגרסה עתידית.

לפני שמתחילים

כדי להשתמש בתכונה 'סריקות מותאמות אישית של Web Security Scanner מכתובות IP סטטיות', צריך:

  • אפליקציית Compute Engine או GKE ציבורית. התכונה הזו לא תומכת באפליקציות של App Engine.
  • סריקה שנוצרה ללא אימות, או עם אימות של חשבון Google. אי אפשר להשתמש בתכונה הזו בסריקות שמשתמשות באימות של חשבונות שאינם חשבונות Google.

שלב 1: הגדרת חומת האש

  1. נכנסים לדף Firewall rules במסוף Google Cloud .

    מעבר לכללי חומת אש

  2. לוחצים על Select (בחירה) ובוחרים את הפרויקט.

  3. בדף כללים של חומת אש שמופיע, לוחצים על יצירת כלל של חומת אש.

  4. בדף Create a firewall rule (יצירת כלל לחומת האש), מגדירים את הערכים הבאים:

    1. שם: מזינים את השם web-security-scanner או שם דומה.
    2. עדיפות: בוחרים עדיפות גבוהה יותר (ערך מספרי נמוך יותר) מכל הכללים שמונעים תעבורת נתונים יוצאת מהאפליקציה.
    3. טווח כתובות ה-IP של המקור: מזינים את הערכים 34.66.18.0/26 ו-34.66.114.64/26.
    4. פרוטוקולים ויציאות: בוחרים באפשרות אישור הכול או מציינים את הפרוטוקולים והיציאות של האפליקציה. בדרך כלל, אפשר לסמן את התיבה tcp ואז להזין 80 ו-443 עבור היציאות.

  5. כשמסיימים להגדיר את הערכים, לוחצים על יצירה.

שלב 2: הגדרת הסריקה

אחרי שמגדירים את חומת האש כך שתאפשר שימוש בכתובות IP צפויות של Web Security Scanner, מגדירים את הסריקה כך שתשתמש בכתובות IP מוגדרות מראש:

  1. נכנסים לדף Web Security Scanner במסוף Google Cloud .

    מעבר אל Web Security Scanner

  2. לוחצים על Select (בחירה) ובוחרים את הפרויקט.

  3. יוצרים סריקה חדשה או עורכים סריקה קיימת.

  4. מסמנים את התיבה הפעלת סריקות מקבוצה מוגדרת מראש של כתובות IP של מקורות.

  5. שומרים את הסריקה.

בפעם הבאה שהסריקה תפעל, היא תסרוק את האפליקציות הציבוריות של Compute Engine ו-GKE שנמצאות מאחורי חומת האש.

החרגת כתובות URL

אתם יכולים לציין עד 100 תבניות של כתובות URL מוחרגות כדי להימנע מבדיקת חלקים באתר במהלך סריקה מותאמת אישית. ‫Web Security Scanner לא מבקש משאבים שתואמים לאף אחת מההחרגות. בקטעים הבאים מתואר תהליך ההתאמה לתבניות שבו משתמש סורק אבטחת האתרים.

התאמה של תבניות URL

התאמה של כתובות URL שמוחרגות מבוססת על קבוצה של כתובות URL שמוגדרות על ידי תבניות התאמה. תבנית התאמה היא כתובת URL עם חמישה מקטעים:

  • scheme: לדוגמה, http או *
  • host: לדוגמה, www.google.com או *.google.com או *
  • path: לדוגמה, /*,‏ /foo* או /foo/bar. *
  • query: לדוגמה, ?*, ‏ ?*foo=bar*
  • fragment: לדוגמה, #*, ‏ #access

התחביר הבסיסי הוא:

<exclude-pattern> := <scheme>://<host><path><query><fragment>
<scheme> := '*' | 'http' | 'https'
<host> := '*' | '*.' <any char except '/' and '*'>+
<path> := '/' <any chars except '?' or '#'>
<query> := '?' <any chars except '#'>
<fragment> := '#' <any chars>

הסימן * בכל חלק משמש לפונקציה הבאה:

  • scheme: * תואם ל-HTTP או ל-HTTPS.

  • host:

    • * מתאים לכל מארח
    • *.hostname תואם למארח שצוין ולכל אחד מתתי-הדומיינים שלו.

  • path: * תואם ל-0 תווים או יותר.

לא צריך לציין את כל הפלחים בדוגמה להחרגה.

  • אם לא מציינים את הפלח scheme, ברירת המחדל היא *://.
  • תמיד צריך לציין את הפלח host.

  • אם לא מציינים את פלח path, ברירת המחדל היא:

    • /*, אם לא מציינים פלחים של query ו-fragment. הערך הזה תואם לכל path או לאף path.
    • /, או path ריק, אם מציינים את הפלח query או fragment.

  • אם לא מציינים את פלח query, ברירת המחדל היא:

    • ?*, אם לא מצוין פלח fragment. הערך הזה תואם לכל query או לאף query.
    • ?, או query ריק, אם מציינים את fragment.

  • אם לא מציינים את המקטע fragment, ברירת המחדל היא #*, שתואמת לכל fragment או לאף fragment.

התאמות תקינות של תבניות

בטבלה הבאה מופיעות דוגמאות לתבניות תקינות:

דוגמת קוד התנהגות דוגמאות לכתובות URL תואמות
http://*/* תואם לכל כתובת URL שמשתמשת בסכימת HTTP.

http://www.google.com/

http://example.org/foo/bar.html
http://*/foo* תואם לכל כתובת URL שמשתמשת בסכימת HTTP, בכל מארח, אם הנתיב מתחיל ב-/foo.

http://example.com/foo/bar.html

http://www.google.com/foo
https://*.google.com/foo*bar תואם לכל כתובת URL שמשתמשת בסכמת HTTPS ונמצאת במארח google.com – כמו www.google.com,‏ docs.google.com או google.com – אם הנתיב מתחיל ב-/foo ומסתיים ב-bar.

http://www.google.com/foo/baz/bar

http://docs.google.com/foobar
http://example.org/foo/bar.html התאמה לכתובת ה-URL שצוינה. http://example.org/foo/bar.html
http://127.0.0.1/* תואמת לכל כתובת URL שמשתמשת בסכימת HTTP ונמצאת במארח 127.0.0.1.

http://127.0.0.1/

http://127.0.0.1/foo/bar.html
*://mail.google.com/* תואם לכל כתובת URL שמתחילה ב-http://mail.google.com או ב-https://mail.google.com.

http://mail.google.com/foo/baz/bar

https://mail.google.com/foobar
*://*/foo*?*bar=baz* תואם לכל כתובת URL שבה הנתיב מתחיל ב-/foo ויש לה את פרמטר השאילתה bar=baz. https://www.google.com/foo/example?bar=baz
google.com/app#*open* תואם לכל כתובת URL עם מארח google.com שבה הנתיב מתחיל ב-/app ויש לה את השבר open. https://www.google.com/app/example#open

התאמות לדפוס לא תקינות

בטבלה הבאה מופיעות דוגמאות לתבניות לא תקינות:

דוגמת קוד סיבה
http://www.google.com כתובת ה-URL לא כוללת נתיב.
http://*foo/bar אחרי * במארח חייב לבוא . או /.
http://foo.*.bar/baz אם * נמצא במארח, הוא חייב להיות התו הראשון.
http:/bar הסכמה בכתובת ה-URL לא תקינה. הערך של "/" צריך להיות "//".
foo://* הסכמה בכתובת ה-URL לא תקינה.

המאמרים הבאים