Defaults.Exposed

Defaults.Exposed › প্রতিবেদন

HTTP নিরাপত্তা হেডার রিপোর্ট কার্ড: ২০২৬ সালে ওয়েব কীভাবে স্কোর করে

প্রকাশিত 2026-06-29

2026-06-29 পর্যন্ত পরিসংখ্যান · পদ্ধতি v7। 261 মিলিয়ন গ্রেড করা ডোমেইন জুড়ে সমষ্টিগত সেন্সাস ডেটা। হেডার চেকগুলো আমরা যে রেসপন্সে পৌঁছাতে পারি সেগুলোতে পর্যবেক্ষণ করা হয়। দেখুন আমরা কীভাবে গ্রেড করি

HTTP নিরাপত্তা হেডার ওয়েবে সবচেয়ে সস্তা প্রতিরক্ষার মধ্যে — কনফিগারেশনের কয়েকটি লাইন, কোনো খরচ নেই — এবং ডেটা দেখায় যে এগুলো প্রায় সর্বজনীনভাবে বাদ দেওয়া হয়। 261 মিলিয়ন ডোমেইন জুড়ে, মাত্র 4.03% প্রতিটি মূল হেডার সঠিকভাবে সেট করে। প্রতিটি হেডার একটি নির্দিষ্ট, বাস্তব আক্রমণ ব্লক করে — ক্লিকজ্যাকিং, বিষয়বস্তু ইনজেকশন, প্রোটোকল ডাউনগ্রেড, রেফারার লিকেজ — এবং প্রতিটি সাইটের বড় সংখ্যাগরিষ্ঠতায় অনুপস্থিত।

রিপোর্ট কার্ড

উঁচু ভালো — ডোমেইনের অংশ যা প্রতিটি হেডার সঠিকভাবে সেট করে। 2026-06-29 পর্যন্ত:

হেডারএটি কী থামায়ডোমেইন যা এটি সেট করে
HSTS (Strict-Transport-Security)HTTPS থেকে HTTP-তে ডাউনগ্রেডHTTPS সাইটের 22.91%
Content-Security-Policyক্রস-সাইট স্ক্রিপ্টিং / বিষয়বস্তু ইনজেকশন8.87%
X-Frame-Options / frame-ancestorsক্লিকজ্যাকিং14.48%
X-Content-Type-Options (nosniff)MIME-টাইপ বিভ্রান্তি আক্রমণ16.65%
Referrer-Policyতৃতীয় পক্ষের কাছে দর্শক URL লিক করা10.10%
উপরের সবগুলো (“ডিফল্টে নিরাপদ”)সম্পূর্ণ সেট4.03%

Content-Security-Policy — ক্রস-সাইট স্ক্রিপ্টিং-এর বিরুদ্ধে সবচেয়ে শক্তিশালী প্রতিরক্ষা — হেডলাইন ব্যর্থতা: মাত্র 8.87% ডোমেইন একটি কার্যকর পাঠায়। এবং মাত্র 4.03% সম্পূর্ণ সেটটি সঠিকভাবে পায়।

এত কম কেন, যখন এগুলো বিনামূল্যে?

বেশিরভাগ সার্ভার এবং প্ল্যাটফর্ম ডিফল্টভাবে হেডার ইনস্টল করে না, তাই এগুলো শুধুমাত্র তখনই প্রদর্শিত হয় যখন কেউ ইচ্ছাকৃতভাবে সেগুলো যোগ করে। এগুলো মিস করার জন্য কোনো ভয়ঙ্কর সতর্কতা নেই — একটি মেয়াদোত্তীর্ণ সার্টিফিকেটের বিপরীতে, একটি অনুপস্থিত হেডার সাইটের মালিক এবং দর্শকদের কাছে অদৃশ্য, ঠিক শোষণ না হওয়া পর্যন্ত। সেই অদৃশ্যতাই ঠিক কারণ গ্রহণ সবচেয়ে গুরুত্বপূর্ণ হেডারগুলোর জন্য একক সংখ্যায় থাকে।

কোন হেডারগুলো আমার অগ্রাধিকার দেওয়া উচিত?

বেশিরভাগ সাইটের জন্য, ক্রমানুসারে:

  1. HSTS — একবার HTTPS-এ থাকলে, এটি লক করুন। HSTS ঠিক করুন
  2. ক্লিকজ্যাকিং সুরক্ষা — একটি এক-লাইন হেডার যা আপনার পেজ ফ্রেম করা থেকে থামায়। ক্লিকজ্যাকিং ঠিক করুন
  3. X-Content-Type-Options: nosniff এবং Referrer-Policy — যোগ করা তুচ্ছ। MIME-স্নিফিং · Referrer-Policy
  4. Content-Security-Policy — সবচেয়ে শক্তিশালী এবং সবচেয়ে বেশি কাজ; সাবধানে করার মূল্য। CSP ঠিক করুন

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

HTTP নিরাপত্তা হেডার কী? একটি সার্ভার প্রতিটি পেজের সাথে পাঠানো নির্দেশাবলী যা ব্রাউজারকে সুরক্ষা প্রয়োগ করতে বলে — ফ্রেমিং ব্লক করুন, মিশ্র বিষয়বস্তু প্রত্যাখ্যান করুন, স্ক্রিপ্ট সীমাবদ্ধ করুন। এগুলো বিনামূল্যে কনফিগারেশন, সফটওয়্যার নয়।

কেন মাত্র 4.03% ওয়েব সবগুলো সেট করে? কারণ এগুলো অপ্ট-ইন এবং অদৃশ্য। কিছু ভাঙে না বা সতর্ক করে না যখন এগুলো অনুপস্থিত, তাই বেশিরভাগ সাইট কখনো সেগুলো যোগ করে না — যতক্ষণ না একটি আক্রমণ ফাঁকটি শোষণ করে।

কোনটি সবচেয়ে গুরুত্বপূর্ণ হেডার? HSTS এবং একটি Content-Security-Policy সবচেয়ে বেশি সুরক্ষা দেয়। CSP ক্রস-সাইট স্ক্রিপ্টিং-এর বিরুদ্ধে সবচেয়ে শক্তিশালী প্রতিরক্ষা কিন্তু স্থাপন করতে সবচেয়ে বেশি যত্ন নেয়।

আমার সাইটে কোন হেডার অনুপস্থিত তা কীভাবে দেখব? একটি বিনামূল্যে, ব্যক্তিগত চেক চালান (নীচে) — এটি প্রতিটি হেডার এবং আপনি এটি সেট করেছেন কিনা তালিকা করে।

আপনার নিরাপত্তা হেডার বিনামূল্যে পরীক্ষা করুন

আপনার সম্পূর্ণ হেডার রিপোর্ট কার্ড দেখুন — এবং ঠিক কী যোগ করতে হবে — ব্যক্তিগতভাবে এবং মালিক-শুধুমাত্র।

আপনার ডোমেইন পরীক্ষা করুন → · CSP ঠিক করুন → · HSTS ঠিক করুন → · আমরা কীভাবে গ্রেড করি → · শুধুমাত্র সমষ্টিগত ডেটা। ডেটা EU-তে সংরক্ষিত এবং প্রক্রিয়াজাত।