Skip to main content
CheckTown
जेनरेटर

HTTP सुरक्षा हेडर: अपनी वेबसाइट की रक्षा करें

प्रकाशित 6 मिनट का पठन
इस लेख में

HTTP सुरक्षा हेडर क्या हैं?

HTTP सुरक्षा हेडर वे प्रतिक्रिया हेडर हैं जो ब्राउज़र को निर्देश देते हैं कि आपकी साइट की सामग्री को संभालते समय कैसे व्यवहार करना है। ये गहन-सुरक्षा की एक महत्वपूर्ण परत बनाते हैं, जो ब्राउज़र स्तर पर सुरक्षा नीतियाँ लागू करके क्रॉस-साइट स्क्रिप्टिंग (XSS), क्लिकजैकिंग और प्रोटोकॉल डाउनग्रेड जैसे आम वेब हमलों से रक्षा करते हैं।

सुरक्षा हेडर आपके सर्वर द्वारा भेजी गई HTTP प्रतिक्रिया का हिस्सा हैं। इन्हें लागू करने में कोई लागत नहीं आती, किसी कोड बदलाव की आवश्यकता नहीं होती, और ये ब्राउज़र वर्शन की परवाह किए बिना सभी आगंतुकों की रक्षा करते हैं। OWASP जैसे प्रमुख सुरक्षा मानक हर प्रोडक्शन वेबसाइट पर इन हेडर को लागू करने की सलाह देते हैं।

HTTP सुरक्षा हेडर कैसे काम करते हैं

प्रत्येक सुरक्षा हेडर ब्राउज़र व्यवहार के एक विशिष्ट पहलू को नियंत्रित करता है, जिससे विभिन्न हमला वैक्टरों के विरुद्ध सुरक्षा की कई परतें बनती हैं।

  • Content-Security-Policy (CSP) — स्क्रिप्ट, स्टाइल, छवियों और अन्य संसाधनों के लिए विश्वसनीय स्रोत परिभाषित करता है, अनधिकृत कोड निष्पादन को अवरुद्ध करके XSS को रोकता है
  • Strict-Transport-Security (HSTS) — ब्राउज़र को आपके डोमेन के सभी भविष्य के अनुरोधों के लिए HTTPS का उपयोग करने के लिए बाध्य करता है, प्रोटोकॉल डाउनग्रेड हमलों और कुकी हाईजैकिंग को रोकता है
  • X-Frame-Options और X-Content-Type-Options — आपके पेजों को iframe में एम्बेड होने से रोककर क्लिकजैकिंग रोकते हैं, और MIME-टाइप स्निफ़िंग हमलों को रोकते हैं

निःशुल्क आज़माएँ — कोई साइनअप आवश्यक नहीं

सुरक्षा हेडर जनरेट करें →

सुरक्षा हेडर कब कॉन्फ़िगर करें

सुरक्षा हेडर हर प्रोडक्शन वेबसाइट पर कॉन्फ़िगर किए जाने चाहिए। ये इन परिदृश्यों में विशेष रूप से महत्वपूर्ण हैं।

  • XSS हमलों को रोकना — Content-Security-Policy क्रॉस-साइट स्क्रिप्टिंग कमज़ोरियों के विरुद्ध सबसे प्रभावी ब्राउज़र-स्तरीय सुरक्षा है
  • HTTPS प्रवर्तन — preload के साथ HSTS यह सुनिश्चित करता है कि उपयोगकर्ता हमेशा HTTPS के ज़रिए कनेक्ट करें, यहाँ तक कि preload सूची के ज़रिए अपनी पहली विज़िट पर भी
  • अनुपालन आवश्यकताएँ — PCI DSS, SOC 2 और HIPAA जैसे मानक वेब एप्लिकेशन हार्डनिंग के हिस्से के रूप में सुरक्षा हेडर की माँग करते हैं

अक्सर पूछे जाने वाले प्रश्न

CSP रिपोर्ट-ओनली मोड क्या है?

Content-Security-Policy-Report-Only वास्तव में संसाधनों को अवरुद्ध किए बिना किसी निर्दिष्ट एंडपॉइंट पर उल्लंघन रिपोर्ट भेजता है। यह आपको अपनी साइट को तोड़े बिना प्रोडक्शन में एक नई CSP नीति का परीक्षण करने देता है। एक बार जब रिपोर्ट दिखाती हैं कि कोई वैध संसाधन अवरुद्ध नहीं हो रहा है, तो इसके बजाय Content-Security-Policy हेडर का उपयोग करके प्रवर्तन मोड पर स्विच करें।

HSTS preload कैसे काम करता है?

HSTS preload ब्राउज़र विक्रेताओं द्वारा बनाई गई एक सूची है जो सूचीबद्ध डोमेन के लिए केवल-HTTPS पहुँच को हार्डकोड करती है। एक बार जब आपका डोमेन preload सूची में आ जाता है, तो ब्राउज़र कभी भी इसके लिए HTTP अनुरोध नहीं करेंगे, यहाँ तक कि पहली ही विज़िट पर भी। योग्य होने के लिए, आपको कम से कम एक वर्ष की max-age, includeSubDomains, और preload निर्देश के साथ एक वैध HSTS हेडर प्रस्तुत करना होगा।

मैं अपने सुरक्षा हेडर का परीक्षण कैसे कर सकता हूँ?

अपनी साइट को स्कैन करने और एक ग्रेड प्राप्त करने के लिए securityheaders.com या Mozilla Observatory जैसे ऑनलाइन टूल का उपयोग करें। ये टूल सभी प्रमुख सुरक्षा हेडर की जाँच करते हैं और अनुपस्थित या गलत कॉन्फ़िगर किए गए हेडर के लिए विशिष्ट सिफ़ारिशें देते हैं। आप ब्राउज़र DevTools में Network टैब के तहत प्रतिक्रिया हेडर की जाँच करके सीधे हेडर का निरीक्षण भी कर सकते हैं।

संबंधित टूल