HTTP নিরাপত্তা হেডার হল রেসপন্স হেডার যা ব্রাউজারকে নিরাপত্তা সুরক্ষা প্রয়োগ করতে নির্দেশ দেয় — XSS, ক্লিকজ্যাকিং এবং প্রোটোকল ডাউনগ্রেড আক্রমণের মতো হুমকি থেকে রক্ষা করতে সাহায্য করে। এগুলি ওয়েব অ্যাপ্লিকেশনের জন্য একটি সহজ, মূল্যবান প্রতিরক্ষা স্তর।
মূল নিরাপত্তা হেডার
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
