HTTP સુરક્ષા હેડર્સ એ પ્રતિક્રિયા હેડર્સ છે જે બ્રાઉઝર્સને સુરક્ષા સુરક્ષા લાગુ કરવા માટે સૂચના આપે છે — XSS, ક્લિકજેકિંગ અને પ્રોટોકોલ ડાઉનગ્રેડ જેવા હુમલાઓ સામે રક્ષણ કરવામાં મદદ કરે છે. તેઓ વેબ એપ્લિકેશનોના માટે સુરક્ષાનું એક સરળ, મૂલ્યવાન સ્તર છે.
મુખ્ય સુરક્ષા હેડર્સ
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
