Defaults.Exposed

Defaults.Exposedসমাধান › ক্লিকজ্যাকিং সুরক্ষা (X-Frame-Options)

ক্লিকজ্যাকিং সুরক্ষা (X-Frame-Options) ঠিক করার উপায়

একটি এক-লাইনের নির্দেশ যা ব্রাউজারকে অন্য ওয়েবসাইটগুলিকে আপনার সাইট তাদের নিজস্বের ভেতরে গোপনে লোড করতে না দেওয়ার নির্দেশ দেয়। এটি ছাড়া, একজন স্ক্যামার আপনার বাস্তব, লগ-ইন পৃষ্ঠাগুলি একটি নকল পৃষ্ঠার পেছনে লুকিয়ে আপনার গ্রাহকদের এমন জিনিসে ক্লিক করতে প্রতারিত করতে পারে যা তারা কখনো বোঝেনি — একটি পেমেন্ট অনুমোদন করা, একটি পাসওয়ার্ড পরিবর্তন করা, অ্যাক্সেস মঞ্জুর করা।

আপনার ব্যবসার জন্য মূল বিষয়: একজন প্রতারক আপনার লাইভ ওয়েবসাইট একটি নকলের ভেতরে অদৃশ্যভাবে মুড়ে আপনার লগ-ইন গ্রাহকদের থেকে অর্থ বা অ্যাকাউন্ট অ্যাক্সেস চুরি করতে পারে — এবং গ্রাহকের কাছে মনে হয় আপনার সাইট এটি করেছে। ঠিক করা বিনামূল্যে এবং একজন ডেভেলপারের প্রায় ১৫ মিনিট লাগে; এটি বন্ধ রাখা একটি পরিচিত ফাঁক যা অপরাধী এবং সতর্ক ক্রেতা উভয়ই সেকেন্ডে স্পট করতে পারে।

এটি আপনার কতটা খরচ করতে পারে

কেন এটি গুরুত্বপূর্ণ। এটি একটি বিনামূল্যে, এক-লাইনের সেটিং যা যোগ করতে মিনিট লাগে, এবং এটি আপনার লগ-ইন গ্রাহকদের লক্ষ্য করা চালাকির একটি সম্পূর্ণ শ্রেণী বন্ধ করে দেয়।

সহজ ভাষায় এটি কী

যখন কেউ আপনার ওয়েবসাইট পরিদর্শন করে, তাদের ব্রাউজারকে আপনার সাইট অন্য একটি ওয়েবসাইটের ভেতরে লোড করার নির্দেশও দেওয়া যেতে পারে — একটি বড় পৃষ্ঠার ভেতরে এম্বেড করা একটি ছোট উইন্ডোর মতো। এটি নিরীহ শোনায়, এবং মাঝে মাঝে এটি। কিন্তু এটি ক্লিকজ্যাকিং নামে একটি আক্রমণের প্রক্রিয়া।

চালাকি এই: একজন স্ক্যামার তাদের নিজস্ব পৃষ্ঠা তৈরি করে এবং আপনার বাস্তব ওয়েবসাইট চুপচাপ এর ভেতরে লোড করে — অদৃশ্যভাবে, সম্পূর্ণ স্বচ্ছ করা হয়েছে। তারপর তারা নিজেদের বিষয়বস্তু উপরে রাখে: একটি চমকপ্রদ বোতাম। আপনার গ্রাহক আক্রমণকারীর পৃষ্ঠা দেখেন এবং একটি নিরীহ বোতামে মনে হয় ক্লিক করেন। কিন্তু কারণ আপনার বাস্তব সাইট তাদের কার্সারের নিচে অদৃশ্যভাবে বসে আছে, ক্লিক আসলে আপনার পৃষ্ঠায় পড়ে — একটি পেমেন্ট নিশ্চিত করা, একটি পাসওয়ার্ড পরিবর্তন করা।

ক্লিকজ্যাকিং সুরক্ষা হলো একটি ছোট, অদৃশ্য নির্দেশ যা আপনার ওয়েবসাইট প্রতিটি দর্শনার্থীর ব্রাউজারে পাঠায়:

“অন্য ওয়েবসাইটগুলিকে আমাকে তাদের ভেতরে লোড করতে দিও না।“

এটি আসলে কী

যখন একটি ব্রাউজার আপনার ওয়েবসাইট থেকে একটি পৃষ্ঠা চায়, আপনার সার্ভার পৃষ্ঠার সাথে কিছু অদৃশ্য “হেডার” ফিরিয়ে দেয়। ক্লিকজ্যাকিং সুরক্ষা এই হেডারের মাধ্যমে ডেলিভারি করা হয়। দুটি আছে:

১. পুরানো হেডার — X-Frame-Options:

X-Frame-Options: SAMEORIGIN

২. আধুনিক হেডার — Content-Security-Policy frame-ancestors:

Content-Security-Policy: frame-ancestors 'self';

‘ভালো’ কেমন দেখায়

সবচেয়ে শক্তিশালী সেটআপ উভয় ব্যবহার করে।

কীভাবে ঠিক করবেন (বিনামূল্যে, ~১৫ মিনিট)

এই বিভাগটি আপনার ওয়েবসাইট পরিচালনাকারীকে হস্তান্তর করুন — ঠিক করা বিনামূল্যে।

ধাপ ১ — কতটা কঠোর হবেন তা সিদ্ধান্ত নিন

ধাপ ২ — হেডার যোগ করুন (আপনার প্ল্যাটফর্ম বেছে নিন)

Nginx:

add_header X-Frame-Options "SAMEORIGIN" always;
add_header Content-Security-Policy "frame-ancestors 'self';" always;

Apache:

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self';"

Microsoft IISweb.config-এ <customHeaders>-এ:

<add name="X-Frame-Options" value="SAMEORIGIN" />
<add name="Content-Security-Policy" value="frame-ancestors 'self';" />

Cloudflare: Rules → Transform Rules → Modify Response Header।

ধাপ ৩ — পুনরায় লোড এবং যাচাই করুন

সাধারণ ভুল

FAQ

আমি প্রযুক্তিগত নই — আমি কি এটি নিজে সামলাতে পারি?

আপনাকে প্রযুক্তিগত অংশ করতে হবে না। এটি আপনার ওয়েবসাইটের সার্ভার বা আপনার CDN-এ যোগ করা একটি একক সেটিং, এবং যেকোনো ওয়েব ডেভেলপার বা IT প্রদানকারী এটি কয়েক মিনিটে যোগ করতে পারে।

এটি কি আমার নিজের সাইট বা বৈধ অংশীদারদের আমার পৃষ্ঠা প্রদর্শন করা বন্ধ করবে?

শুধুমাত্র যদি আপনি এটি খুব কঠোরভাবে সেট করেন। সাধারণ সেটিং ('SAMEORIGIN', বা 'frame-ancestors self') আপনার নিজের ওয়েবসাইটকে এখনো তার নিজের পৃষ্ঠাগুলি স্বাভাবিকভাবে এম্বেড করতে দেয়।

আমরা একটি ছোট ব্যবসা — কেউ কি সত্যিই আমাদের টার্গেট করবে?

এই আক্রমণগুলি স্বয়ংক্রিয় টুল দ্বারা বাল্কে চালানো হয়, হাতে-বাছাই নয়। ছোট সাইটগুলি প্রায়ই এই ধরনের মৌলিক সুরক্ষা না থাকার কারণে আঘাত পায়।

'ভালো' আসলে কেমন দেখায়?

হয় SAMEORIGIN (বা DENY)-এ সেট একটি X-Frame-Options হেডার, বা একটি frame-ancestors ডিরেক্টিভ সহ Content-Security-Policy।

এটি কি SSL প্যাডলক বা HTTPS-এর মতো একই?

না — তারা সম্পূর্ণ আলাদা জিনিস রক্ষা করে।

আমরা যদি এটি ঠিক না করি, এটি কি আমাদের গ্রেড কমাবে?

হ্যাঁ। এটি একটি স্কোর করা ওয়েব-নিরাপত্তা চেক, তথ্যমূলক নয়।