Cad iad ceannlínte slándála HTTP?

Question

Accepted Answer

**Ceannlínte slándála HTTP** iad ceannlínte freagartha a thugann orduithe do bhrabhsálaithe chun cosaintí slándála a fhorfheidhmiú — a chuideoidh le cosaint a dhéanamh ar ionsaithe ar nós XSS, clickjacking, agus laghdú prótacail. Is é an fíor-bhreise cosanta simplí, luachmhar do fheidhmchlár gréine.

## Ceannlínte slándála príomhúla

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Sampla

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Cén fáth a bhíonn siad i gceist (cosaint i ndoimhneacht)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Cén fáth a bhíonn siad tábhachtach

Is luachmhar é tuiscint a bheith agat ar cheannlínte slándála HTTP mar gur solátharaíonn siad **bréise cosanta simplí, éifeachtach do fheidhmchlár gréine**, agus is fíor an t-eolas slándála praiticiúil úsáideach a bheith agat faoi.

Thugann ceannlínte slándála orduithe do bhrabhsálaithe chun cosaintí a fhorfheidhmiú i gcoinne ionsaithe coitianta, agus is luachmhar é an príomhceannlínte a thuiscint. Is é **Content-Security-Policy (CSP)** an ceannlíne is cumhachtaí — a bhainistiú ar an mothúchán ar féidir a bhreiseoir agus a script a fhreangadh, agus a sholáthraítear cosaint láidir i gcoinne XSS (agus fiú an laghdú air nuair atá earráid san abhógáid aschuir). Éigeann **Strict-Transport-Security (HSTS)** HTTPS a úsáid, agus cuireann sé stop ar ionsaithe laghdú agus SSL-stripping. Cuireann **X-Frame-Options** (nó CSP frame-ancestors) bac ar **clickjacking** trí bhlocáil ar an leathanach a bheith foluain in iframes. Cuireann **X-Content-Type-Options: nosniff**, Referrer-Policy, agus Permissions-Policy cosaintí bhreise ar fáil.

Is é an t-eolas praiticiúil a thuiscint orthu seo agus an rud atá cosanta acu i gcoinne.

Is é an príomhluach a thuiscint **cén fáth go bhfuil siad tábhachtach**: tá siad **éasca a chur i bhfeidhm** (cumraithe ar an fhreastalaí/proxy) agus cuireann siad cosaint shuntasach ar fáil ar son fhéarchostas beag, agus cuireann siad **cosaint i ndoimhneacht** i bhfeidhm (sraitheanna breise — e.g. CSP ag laghdú XSS fiú má ligeann earráid códúcháin isteach dó).

Is ionann tuiscint ar an rabhadh tábhachtach go **níl ceannlínte ina ionadaí do chódúchán slán** (ní mór duit fós na cúiseanna fréamhacha a cheartú; ceangal CSP a dhéanamh go cúramach) agus tuiscint chothrom — tugann ceannlínte tacaíocht do, ní ionadaí, forbairt dhíonta.

Is feabhas luachmhar, íseal-fhéachaint é ceannlínte slándála go leor suíomhanna foluain, agus déanann uirlisí/scanners seiceáil ar a leithéid.

Ó gur solátharaíonn ceannlínte slándála cosaint dhíonta shimplí, éifeachtach do fheidhmchlár gréine (ag cosaint i gcoinne XSS, clickjacking, ionsaithe laghdaithe) ar son fhéarchostas beag, agus ó bhionn eolas ar na príomhceannlínte agus ar a luach úsáideach chun slándála an fheidhmchláir ghréine a fheabhsú, is eolas slándála praiticiúil, ábhartha é tuiscint ar cheannlínte slándála HTTP — sraith bhreise cosanta íseal-fhéachaint, ardluachúil de dhíonta gréine (go háirithe CSP do XSS agus X-Frame-Options do clickjacking) a thugann tacaíocht do chódúchán slán, eolas fúinseach chun feidhmchlár gréine a dhúnadh.