HTTP सुरक्षा हेडरहरू के हुन्?

Question

Accepted Answer

**HTTP सुरक्षा हेडरहरू** प्रतिक्रिया हेडरहरू हुन् जसले ब्राउजरलाई सुरक्षा सुरक्षाहरू लागू गर्न निर्देश दिन्छन् — XSS, clickjacking, र प्रोटोकल डाउनग्रेड जस्ता आक्रमणहरू बिरुद्ध रक्षा गर्न मद्दत गर्छन्। तिनीहरू वेब अनुप्रयोगहरूको लागि सजिलो, मूल्यवान सुरक्षा परत हुन्।

## मुख्य सुरक्षा हेडरहरू

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## उदाहरण

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## किन तिनीहरूले महत्व राख्छन् (गहिराइ मा सुरक्षा)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## किन यो महत्त्वपूर्ण

HTTP सुरक्षा हेडरहरू बुझ्नु मूल्यवान छ किनभने तिनीहरूले **वेब अनुप्रयोगहरूको लागि सजिलो, प्रभावकारी सुरक्षा परत प्रदान गर्छन्**, त्यसैले यो उपयोगी व्यावहारिक सुरक्षा ज्ञान हो।

सुरक्षा हेडरहरूले ब्राउजरलाई सामान्य आक्रमणहरू विरुद्ध सुरक्षा लागू गर्न निर्देश दिन्छन्, र मुख्य वाहरू बुझ्नु मूल्यवान छ। **Content-Security-Policy (CSP)** सबैभन्दा शक्तिशाली छ — कुन संसाधनहरू र स्क्रिप्टहरू लोड र चलाउन सक्छन् भन्ने नियन्त्रण गरिन्छ, XSS विरुद्ध बलियो रक्षा प्रदान गर्दछ (आउटपुट escaping गलिंदा पनि यसलाई कम गर्छ)। **Strict-Transport-Security (HSTS)** ले HTTPS बल गर्छ, downgrade र SSL-stripping आक्रमणहरू रोक्छ। **X-Frame-Options** (वा CSP frame-ancestors) ले पृष्ठ iframe मा एम्बेड हुनबाट रोकेर **clickjacking** रोक्छ। **X-Content-Type-Options: nosniff**, Referrer-Policy, र Permissions-Policy थप सुरक्षा थप्छन्।

यी हेडरहरू र तिनीहरूले कस्तो बिरुद्ध सुरक्षा गर्छन् भन्ने बुझ्नु व्यावहारिक ज्ञान हो।

**किन तिनीहरूले महत्व राख्छन्** भन्ने बुझ्नु मुख्य मूल्य हो: तिनीहरू **जोड्न सजिलो हुन्** (सर्भर/प्रॉक्सीमा कन्फिगर गरिन्छ) तर कम प्रयासमा महत्त्वपूर्ण सुरक्षा प्रदान गर्छन्, र तिनीहरू **गहिराइ मा सुरक्षा** लागू गर्छन् (अतिरिक्त परतहरू — उदाहरणका लागि CSP ले कोडिंग त्रुटिले यसलाई अनुमति दिंदा पनि XSS को कम गर्छ)।

**हेडरहरू सुरक्षित कोडिंगको विकल्प होइनन्** भन्ने महत्त्वपूर्ण सावधानी बुझ्नु (तपाईंले अझै पनि मूल कारणहरू ठीक गर्नुपर्छ; CSP लाई सावधानीपूर्वक कन्फिगरेसन चाहिन्छ) संतुलित बुझाइ प्रतिबिम्बित गर्छ — हेडरहरू पूरक हुन्, प्रतिस्थापन होइनन्, सुरक्षित विकास।

सुरक्षा हेडरहरू मूल्यवान, कम-प्रयास सुधार हुन् जुन धेरै साइटहरूले कम प्रयोग गर्छन्, र उपकरण/स्क्यानरहरू सामान्यतः तिनीहरूको जाँच गर्छन्।

सुरक्षा हेडरहरूले वेब अनुप्रयोगहरूको लागि सजिलो, प्रभावकारी गहिराइ मा सुरक्षा प्रदान गर्छन् (XSS, clickjacking, downgrade आक्रमणहरू विरुद्ध सुरक्षा) कम प्रयासमा, र मुख्य हेडरहरू र तिनीहरूको मूल्य बुझ्नु वेब अनुप्रयोग सुरक्षा सुधार गर्नका लागि उपयोगी भएकोले, HTTP सुरक्षा हेडरहरू बुझ्नु मूल्यवान, व्यावहारिक-सम्बन्धित सुरक्षा ज्ञान हो — कम-प्रयास, उच्च-मूल्य वेब रक्षा परत (विशेष गरी XSS का लागि CSP र clickjacking का लागि X-Frame-Options) जो सुरक्षित कोडिंगको पूरक छ, वेब अनुप्रयोगहरूलाई कठोर गर्नका लागि उपयोगी ज्ञान।