Defaults.Exposed › সমাধান › ক্রস-অরিজিন আইসোলেশন হেডার (COOP / CORP / COEP)
ক্রস-অরিজিন আইসোলেশন হেডার (COOP / CORP / COEP) ঠিক করার উপায়
তিনটি ঐচ্ছিক ব্রাউজার নির্দেশ যা নিয়ন্ত্রণ করে অন্য ওয়েবসাইটগুলি আপনারটির সাথে কীভাবে ইন্টারঅ্যাক্ট করার অনুমতি পাবে — এটি পপআপে খোলা, এর ছবি এবং স্ক্রিপ্ট এম্বেড করা, বা তাদের নিজস্ব পৃষ্ঠায় এর রিসোর্স টেনে আনা। এগুলি আধুনিক হার্ডেনিং, মৌলিক আবশ্যকতা নয়, এবং আমাদের স্কোরিংয়ে এগুলি তথ্যমূলক: এগুলি অনুপস্থিত থাকলে আপনার গ্রেড কমবে না। কিন্তু দুটি নিরাপদ একটি শান্ত ফিশিং এবং ব্যান্ডউইথ-চুরির ফাঁক বন্ধ করে, এবং একজন সতর্ক ক্রেতার IT দল লক্ষ্য করবে যখন এগুলি উপস্থিত থাকে।
আপনার ব্যবসার জন্য মূল বিষয়: এই তিনটির মধ্যে দুটি হেডার পরিশীলিত পপআপ-ফিশিং বন্ধ করে এবং অন্য সাইটগুলিকে আপনার ছবি এবং স্ক্রিপ্ট হটলিংক করা থেকে বিরত রাখে (যা আপনার ব্যান্ডউইথ খরচ করে এবং ডেটা লিক করতে পারে)। এগুলি বিনামূল্যে, একজন ডেভেলপারের প্রায় ১৫ মিনিট লাগে, এবং কিছু ভাঙবে না। তৃতীয়টি উন্নত এবং অ্যানালিটিক্স, ফন্ট এবং এম্বেড ভাঙতে পারে — বেশিরভাগ ব্যবসা এটি বন্ধ রাখা উচিত।
এটি আপনার কতটা খরচ করতে পারে
- একজন স্ক্যামার একটি পপআপ উইন্ডোতে আপনার বাস্তব সাইট খোলে এবং এর রিমোট কন্ট্রোল রাখে — আপনার গ্রাহক মুহূর্তের জন্য চোখ সরালে চুপচাপ তাদের একটি নকল লগইনে পুনর্নির্দেশ করে। নিরাপদ হেডার (COOP) সেই কন্ট্রোল লিঙ্কটি সম্পূর্ণ কেটে দেয়।
- অন্য ওয়েবসাইটগুলি আপনার সার্ভার থেকে সরাসরি আপনার পণ্যের ছবি, লোগো এবং স্ক্রিপ্ট এম্বেড করে (হটলিংকিং) — তাদের দর্শনার্থীরা পৃষ্ঠা লোড করলে প্রতিবার আপনি ব্যান্ডউইথের জন্য পরিশোধ করেন।
- একজন সম্ভাব্য গ্রাহকের নিরাপত্তা দল স্বাক্ষর করার আগে একটি হেডার স্ক্যান চালায়; আপনি আধুনিক ক্রস-অরিজিন হার্ডেনিং যুক্ত করলে এটি 'তারা বিষয়টি গুরুত্বের সাথে নেয়' কলামে আপনাকে স্থান দেয়।
- একজন ডেভেলপার, পুঙ্খানুপুঙ্খ হওয়ার চেষ্টায়, পরীক্ষা না করে উন্নত আইসোলেশন হেডার (COEP) চালু করে — এবং রাতারাতি আপনার Google Analytics, ওয়েব ফন্ট এবং এম্বেড করা বুকিং উইজেট ভেঙে দেয়।
- একজন অডিটরের চেকলিস্ট ক্রস-অরিজিন আইসোলেশন উল্লেখ করে; দুটি নিরাপদটিতে 'উপস্থিত এবং সঠিক' দেখানো আপনার পক্ষে কাজ করে।
কেন এটি গুরুত্বপূর্ণ। এগুলি ফরোয়ার্ড-লুকিং ব্রাউজার-হার্ডেনিং হেডার। আমাদের পদ্ধতিতে তিনটিই তথ্যমূলক — এগুলি শূন্য পয়েন্ট সহ নিবন্ধিত এবং কখনো আপনার গ্রেড সরায় না — কারণ এগুলি উন্নত নিয়ন্ত্রণ যা একটি সাইট বৈধভাবে ছাড়াই পরিচালনা করতে পারে। দুটি নিরাপদ (COOP এবং CORP) সত্যিকার অর্থে যোগ করার মূল্য আছে: বিনামূল্যে, দ্রুত, এবং তারা কিছু না ভেঙে বাস্তব পপআপ-ফিশিং এবং রিসোর্স-চুরির ফাঁক বন্ধ করে।
সহজ ভাষায় এগুলি কী
কেউ আপনার ওয়েবসাইট পরিদর্শন করলে, তাদের ব্রাউজার শুধু আপনার পৃষ্ঠাগুলি বিচ্ছিন্নভাবে লোড করে না — এটি এও সিদ্ধান্ত নেয় যে অন্য ওয়েবসাইটগুলি আপনারটির সাথে কীভাবে ইন্টারঅ্যাক্ট করার অনুমতি পাবে। একটি পপআপে আপনার সাইট খুলে অন্য একটি সাইট এটিতে ধরে রাখতে পারে? একটি অন্য সাইট আপনার নিজের পৃষ্ঠায় আপনার ছবি এবং স্ক্রিপ্ট এম্বেড করতে পারে?
এই তিনটি হেডার সংক্ষিপ্ত, অদৃশ্য নির্দেশ যা আপনার ওয়েবসাইট প্রতিটি দর্শনার্থীর ব্রাউজারে পাঠায় ঠিক সেই প্রশ্নগুলির উত্তর দিতে:
- COOP — Cross-Origin-Opener-Policy. নিয়ন্ত্রণ করে অন্য সাইটগুলি যেগুলি পপআপ উইন্ডোতে আপনারটি খোলে সেগুলি এর রিমোট কন্ট্রোল রাখতে পারে কিনা।
- CORP — Cross-Origin-Resource-Policy. নিয়ন্ত্রণ করে অন্য সাইটগুলিকে তাদের নিজস্ব পৃষ্ঠায় আপনার ছবি, স্ক্রিপ্ট এবং অন্যান্য ফাইল এম্বেড করার অনুমতি আছে কিনা।
- COEP — Cross-Origin-Embedder-Policy. একটি উন্নত নিয়ন্ত্রণ যা, COOP-এর সাথে মিলিত, আপনার পৃষ্ঠাকে “বিচ্ছিন্ন” করে যাতে এটি নিরাপদে নির্দিষ্ট শক্তিশালী ব্রাউজার বৈশিষ্ট্যগুলি ব্যবহার করতে পারে।
তাদের মধ্যে দুটি (COOP এবং CORP) যোগ করা নিরাপদ এবং সত্যিকার অর্থে দরকারী। তৃতীয় (COEP) উন্নত এবং অসাবধানে চালু করলে জিনিস ভাঙতে পারে।
সবচেয়ে গুরুত্বপূর্ণ যা আগে জানতে হবে: আমাদের স্কোরিংয়ে, তিনটিই তথ্যমূলক। এগুলি আপনার গ্রেড প্রভাবিত করে না।
কীভাবে ঠিক করবেন (বিনামূল্যে, ~১৫ মিনিট)
আপনার IT ব্যক্তি বা ওয়েব ডেভেলপারকে এটি হস্তান্তর করুন — ঠিক করা বিনামূল্যে। শুধুমাত্র নির্দেশ: দুটি নিরাপদটি করুন, এবং COEP পরীক্ষা না করে সক্রিয় করবেন না।
দুটি নিরাপদ হেডার (সবার জন্য প্রস্তাবিত)
Cloudflare — Rules → Transform Rules → Modify Response Headers → Set:
Cross-Origin-Opener-Policy=same-originCross-Origin-Resource-Policy=same-origin
Nginx:
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;
Apache:
Header always set Cross-Origin-Opener-Policy "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"
উন্নত হেডার (শুধুমাত্র যদি আপনার বিশেষভাবে এটি প্রয়োজন হয়)
স্টেজিংয়ে পরীক্ষা না করে এটি চালু করবেন না। COEP অ্যানালিটিক্স, ফন্ট এবং এম্বেড করা উইজেট ভাঙতে পারে।
Nginx:
add_header Cross-Origin-Embedder-Policy "credentialless" always;
সাধারণ ভুল
- “পুঙ্খানুপুঙ্খ হতে” COEP সক্রিয় করা এবং সাইট ভাঙা। COEP আপনি যা লোড করেন সব থেকে অপ্ট-ইন দাবি করে। পরীক্ষা না করে চালু করলে আপনার অ্যানালিটিক্স, ফন্ট এবং এম্বেড অদৃশ্য হতে পারে।
- একটি স্ক্যানার সেগুলি উল্লেখ করেছে বলে এগুলিকে জরুরি হিসেবে ব্যবহার করা। এগুলি তথ্যমূলক। স্কোর করা ওয়েব হেডারগুলি (HTTPS, HSTS, CSP, ক্লিকজ্যাকিং, MIME-স্নিফিং) আগে আসে।
- এম্বেড করার যোগ্য সম্পদ প্রকাশ করার সময় CORP খুব কঠোরভাবে সেট করা। আপনি যদি ইচ্ছাকৃতভাবে অন্য সাইটগুলি ব্যবহার করার জন্য একটি লোগো বা API পরিবেশন করেন, তাহলে ব্যাপক
same-originCORP সেগুলি ব্লক করবে।
FAQ
এগুলি আমার গ্রেড প্রভাবিত করে না — আমার কি আদৌ বিরক্ত করা উচিত?
তাদের মধ্যে দুটি, হ্যাঁ; একটি, সম্ভবত না। COOP এবং CORP বিনামূল্যে, মিনিট নেয়, এবং আপনার সাইট ভাঙবে না — এগুলি বাস্তব আক্রমণ পথ বন্ধ করে। COEP উন্নত এবং তৃতীয় পক্ষের টুল ভাঙতে পারে, তাই বেশিরভাগ ব্যবসা এটি বন্ধ রাখা উচিত।
আমি প্রযুক্তিগত নই — এটি কি এমন কিছু যা আমাকে পদক্ষেপ নিতে হবে?
ব্যক্তিগতভাবে নয়, এবং জরুরিভাবে নয়। কারণ এগুলি তথ্যমূলক, আপনি এগুলি এড়িয়ে গেলে আপনার গ্রেডে কিছু খারাপ হয় না। দুটি নিরাপদটি যোগ করতে চাইলে, যিনি আপনার ওয়েবসাইট বা CDN পরিচালনা করেন তাকে 'কীভাবে ঠিক করবেন' বিভাগটি হস্তান্তর করুন।
এগুলি এবং আমার গ্রেড প্রভাবিত করে এমন হেডারগুলির মধ্যে পার্থক্য কী?
স্কোর করা ওয়েব-সিকিউরিটি হেডারগুলি — HTTPS রিডাইরেক্ট, HSTS, Content-Security-Policy, ক্লিকজ্যাকিং সুরক্ষা এবং MIME-স্নিফিং সুরক্ষা — সাধারণ, ব্যাপকভাবে-শোষিত আক্রমণের বিরুদ্ধে রক্ষা করে। এই পৃষ্ঠার তিনটি (COOP, CORP, COEP) নতুন, আরও বিশেষায়িত ব্রাউজার-আইসোলেশন নিয়ন্ত্রণ।
COOP বা CORP যোগ করা কি আমার ওয়েবসাইট বা আমার অংশীদারদের ইন্টিগ্রেশন ভাঙবে?
প্রস্তাবিত সেটিং (উভয়ই 'same-origin') নিরাপদ হওয়ার জন্য ডিজাইন করা হয়েছে। COOP শুধুমাত্র পপআপে আপনার সাইট খোলা উইন্ডোগুলির লিঙ্ক সেভার করে। CORP শুধুমাত্র অন্য সাইটগুলিকে আপনার ছবি এবং স্ক্রিপ্ট এম্বেড করা থেকে বিরত রাখে।
'হটলিংকিং' আমার কী খরচ করে, সত্যিই?
অন্য একটি সাইট যখন তাদের নিজস্ব কপি হোস্ট করার পরিবর্তে আপনার সার্ভার থেকে সরাসরি আপনার ছবি এম্বেড করে, তাদের পৃষ্ঠার প্রতিটি দর্শনার্থী আপনার কাছ থেকে এটি ডাউনলোড করে — আপনার ব্যান্ডউইথ বিলে। CORP ('same-origin') ব্রাউজার স্তরে এটি বন্ধ করে।
এর প্রতিটির জন্য 'ভালো' কেমন দেখায়?
COOP: একটি Cross-Origin-Opener-Policy হেডার 'same-origin'-এ সেট। CORP: একটি Cross-Origin-Resource-Policy হেডার 'same-origin'-এ সেট। COEP: একটি Cross-Origin-Embedder-Policy হেডার — এবং আপনি যদি এটি সেট করেন, 'credentialless' হলো 'require-corp' এর চেয়ে নিরাপদ মান। COOP এবং CORP উপস্থিত রাখার লক্ষ্য রাখুন; COEP অনুপস্থিত রাখুন যদি না আপনি এটি পরীক্ষা না করেন।