HTTP নিরাপত্তা হেডার কী?

Question

Accepted Answer

**HTTP নিরাপত্তা হেডার** হল রেসপন্স হেডার যা ব্রাউজারকে নিরাপত্তা সুরক্ষা প্রয়োগ করতে নির্দেশ দেয় — XSS, ক্লিকজ্যাকিং এবং প্রোটোকল ডাউনগ্রেড আক্রমণের মতো হুমকি থেকে রক্ষা করতে সাহায্য করে। এগুলি ওয়েব অ্যাপ্লিকেশনের জন্য একটি সহজ, মূল্যবান প্রতিরক্ষা স্তর।

## মূল নিরাপত্তা হেডার

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## উদাহরণ

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## কেন তারা গুরুত্বপূর্ণ (প্রতিরক্ষা গভীরতা)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## কেন এটি গুরুত্বপূর্ণ

HTTP নিরাপত্তা হেডার বোঝা মূল্যবান কারণ তারা **ওয়েব অ্যাপ্লিকেশনের জন্য একটি সহজ, কার্যকর প্রতিরক্ষা স্তর প্রদান করে**, তাই এটি ব্যবহারিক নিরাপত্তা জ্ঞান অত্যন্ত দরকারী।

নিরাপত্তা হেডার ব্রাউজারকে সাধারণ আক্রমণের বিরুদ্ধে সুরক্ষা প্রয়োগ করতে নির্দেশ দেয়, এবং মূল সেগুলি বোঝা মূল্যবান। **Content-Security-Policy (CSP)** সবচেয়ে শক্তিশালী — নিয়ন্ত্রণ করে যে কোন সম্পদ এবং স্ক্রিপ্ট লোড এবং চালানো যায়, XSS-এর বিরুদ্ধে শক্তিশালী প্রতিরক্ষা প্রদান করে (এমনকি আউটপুট এসকেপিং মিস হলেও তা কমায়)। **Strict-Transport-Security (HSTS)** HTTPS বাধ্য করে, ডাউনগ্রেড এবং SSL-স্ট্রিপিং আক্রমণ প্রতিরোধ করে। **X-Frame-Options** (বা CSP frame-ancestors) **ক্লিকজ্যাকিং** প্রতিরোধ করে iframe-এ পৃষ্ঠা এম্বেড হওয়া ব্লক করে। **X-Content-Type-Options: nosniff**, Referrer-Policy এবং Permissions-Policy অতিরিক্ত সুরক্ষা যোগ করে।

এই হেডার এবং তারা কী সুরক্ষা দেয় তা বোঝা ব্যবহারিক জ্ঞান।

**কেন তারা গুরুত্বপূর্ণ** তা বোঝা হল মূল মূল্য: তারা **যোগ করা সহজ** (সার্ভার/প্রক্সিতে কনফিগার করা হয়) অথচ সামান্য প্রচেষ্টায় উল্লেখযোগ্য সুরক্ষা প্রদান করে, এবং তারা **প্রতিরক্ষা গভীরতা** প্রয়োগ করে (অতিরিক্ত স্তর — উদাহরণস্বরূপ CSP যা XSS-কে কমায় এমনকি যদি কোডিং ভুল এটি অনুমতি দেয়)।

**হেডার নিরাপদ কোডিংয়ের বিকল্প নয়** এই গুরুত্বপূর্ণ সতর্কতা বোঝা (আপনাকে অবশ্যই মূল কারণ ঠিক করতে হবে; CSP সাবধানে কনফিগার করা প্রয়োজন) সুষম বোঝাপড়া প্রতিফলিত করে — হেডার সম্পূরক করে, প্রতিস্থাপন করে না, নিরাপদ বিকাশকে।

নিরাপত্তা হেডার একটি মূল্যবান, কম-প্রচেষ্টার উন্নতি যা অনেক সাইট কম ব্যবহার করে, এবং সরঞ্জাম/স্ক্যানার সাধারণত তাদের জন্য পরীক্ষা করে।

যেহেতু নিরাপত্তা হেডার ওয়েব অ্যাপ্লিকেশনের জন্য সহজ, কার্যকর প্রতিরক্ষা-গভীরতা প্রদান করে (XSS, ক্লিকজ্যাকিং, ডাউনগ্রেড আক্রমণের বিরুদ্ধে সুরক্ষা) সামান্য প্রচেষ্টায়, এবং যেহেতু মূল হেডার এবং তাদের মূল্য বোঝা ওয়েব অ্যাপ নিরাপত্তা উন্নত করার জন্য দরকারী, HTTP নিরাপত্তা হেডার বোঝা মূল্যবান, ব্যবহারিকভাবে প্রাসঙ্গিক নিরাপত্তা জ্ঞান — ওয়েব প্রতিরক্ষার একটি কম-প্রচেষ্টা, উচ্চ-মূল্য স্তর (বিশেষ করে XSS-এর জন্য CSP এবং ক্লিকজ্যাকিং-এর জন্য X-Frame-Options) যা নিরাপদ কোডিং-কে পরিপূরক করে, ওয়েব অ্যাপ্লিকেশন শক্তিশালী করার জন্য দরকারী জ্ঞান।