Close Menu
    Thursday, November 13
    Ethical Hacking

    ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?

    Fl_FaysalBy Updated:No Comments3 Mins Read

    ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?

    HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।

    Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।

    HTTP Headers Security বলতে নিচের সিকিউরিটি কে বোঝায়:

    ● Cross Site Scripting Protection (X-XSS)
    ● Content Security Policy (CSP)
    ● Browser Sniffing Protection (X-Content-Type-Options)
    ● Clickjacking Prevention (X-Frame-Options)
    ● HTTP Strict Transport Security (HSTS)
    ● HTTP Public Key Pinning (HPKP)
    ● Referring Settings (Referrer-Policy)
    ● Cookie Settings (Set-Cookie)

    HTTP Headers Security চেক করার জন্য আমরা নিজের টুলগুলো ব্যবহার করতে পারি:


    ● Check HTTP Security Headers: www.securityheaders.com
    ● Check HTTP Strict Transport Security / HSTS: www.hstspreload.org
    ● Check WebPageTest: www.webpagetest.org
    ● Check HSTS test website: www.gf.dev/hsts-test

    ● Check website header security status: https://securityheaders.com/

    Headers Security Advanced প্লাগিন এর মাধ্যমে কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?


    Plugin: Headers Security Advanced Plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/

    “● Headers Security Advanced & HSTS WP প্লাগিনটি OWASP CSRF এর উপর Base করে তৈরি
    করা। একবার প্লাগইন ইনস্টল হয়ে গেলে, এটি সম্পূর্ণ CSRF mitigation প্রদান করে থাকে। এবং
    অন্যান্য Vulnerable প্লাগইন থাকলেও ওয়েবসাইটের সিকিউরিটি প্রদান করে এই প্লাগইনটি।”

    “এই plug-in টির মধ্যে FLoC (Federated Learning of Cohorts) ইন্ট্রিগেশন করা থাকায় ব্রাউজার
    কে cohort calculation” on FLoC (Federated Learning of Cohorts) এ ওয়েবসাইটটিকে ইনক্লুড
    করতে বাধা দেয়।”

    “এছাড়াও প্লাগিনটি তে HSTS (HTTP Strict Transport Security) ইনক্লুডেড রয়েছে যা protocol
    downgrade attack and কুকি হাইজাকিং থেকে রক্ষা করে।”

    Headers Security Advanced প্লাগিন ফিচার:

    “এই প্লাগিনটি আমাদের নিম্নোক্ত ফিচারগুলো দিয়ে থাকে:

    ● HSA Limit Login to block brute force attacks.
    ● X-XSS-Protection
    ● Expect-CT
    ● Access-Control-Allow-Origin
    ● Access-Control-Allow-Methods
    ● Access-Control-Allow-Headers
    ● X-Content-Security-Policy
    ● X-Content-Type-Options
    ● X-Frame-Options
    ● X-Permitted-Cross-Domain-Policies
    ● X-Powered-By
    ● Content-Security-Policy
    ● Referrer-Policy
    ● HTTP Strict Transport Security / HSTS
    ● Content-Security-Policy
    ● Clear-Site-Data
    ● Cross-Origin-Embedder-Policy-Report-Only
    ● Cross-Origin-Opener-Policy-Report-Only
    ● Cross-Origin-Embedder-Policy
    ● Cross-Origin-Opener-Policy
    ● Cross-Origin-Resource-Policy
    ● Permissions-Policy
    ● Strict-dynamic
    ● Strict-Transport-Security
    ● FLoC (Federated Learning of Cohorts)”

    Headers Security Advanced Plugin Install & Configure:

    “● Install the plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
    ● WordPress Dashboard > Settings > Headers Security Advanced & HSTS WP

    অথবা ম্যানুয়ালি Root .htaccess এর ভেতরে আমরা নিচের কোডগুলো পুশ করতে পারি:

    “# Headers Security Advanced & HSTS WP – 5.0.02
    <IfModule mod_headers.c>
    Header always set Strict-Transport-Security “”max-age=63072000; includeSubDomains; preload””
    Header always set X-XSS-Protection “”1; mode=block””
    Header always set X-Content-Type-Options “”nosniff””
    Header always set Referrer-Policy “”strict-origin-when-cross-origin””
    Header always set Expect-CT “”max-age=7776000, enforce””
    Header set Access-Control-Allow-Origin “”null””
    Header set Access-Control-Allow-Methods “”GET,PUT,POST,DELETE””
    Header set Access-Control-Allow-Headers “”Content-Type, Authorization””
    Header set X-Content-Security-Policy “”img-src *; media-src * data:;””
    Header always set Content-Security-Policy “”report-uri https://malware.freelancersanin.com””
    Header set Cross-Origin-Embedder-Policy-Report-Only ‘unsafe-none; report-to=””default””‘
    Header set Cross-Origin-Embedder-Policy ‘unsafe-none; report-to=””default””‘
    Header set Cross-Origin-Opener-Policy-Report-Only ‘same-origin; report-to=””default””‘
    Header set Cross-Origin-Opener-Policy ‘same-origin; report-to=””default””‘
    Header set Cross-Origin-Resource-Policy ‘cross-origin’
    Header always set X-Frame-Options “”SAMEORIGIN””
    Header always set Permissions-Policy “”geolocation=(self), microphone=(), accelerometer=(), gyroscope=(), magnetometer=()””
    Header set X-Permitted-Cross-Domain-Policies “”none””
    </IfModule>
    # END Headers Security Advanced & HSTS WP

    ● Now Check website header security status: https://securityheaders.com/


    এভাবে সহজে আমরা যেকোন একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করতে পারি।”

    Share.

    Related Posts

    Categories

    FREELANICNG COURSE

    © 2025 FL Blog. Designed by FL Faysal.