Defaults.Exposed

Defaults.Exposedসমাধান › ক্রস-অরিজিন আইসোলেশন হেডার (COOP / CORP / COEP)

ক্রস-অরিজিন আইসোলেশন হেডার (COOP / CORP / COEP) ঠিক করার উপায়

তিনটি ঐচ্ছিক ব্রাউজার নির্দেশ যা নিয়ন্ত্রণ করে অন্য ওয়েবসাইটগুলি আপনারটির সাথে কীভাবে ইন্টারঅ্যাক্ট করার অনুমতি পাবে — এটি পপআপে খোলা, এর ছবি এবং স্ক্রিপ্ট এম্বেড করা, বা তাদের নিজস্ব পৃষ্ঠায় এর রিসোর্স টেনে আনা। এগুলি আধুনিক হার্ডেনিং, মৌলিক আবশ্যকতা নয়, এবং আমাদের স্কোরিংয়ে এগুলি তথ্যমূলক: এগুলি অনুপস্থিত থাকলে আপনার গ্রেড কমবে না। কিন্তু দুটি নিরাপদ একটি শান্ত ফিশিং এবং ব্যান্ডউইথ-চুরির ফাঁক বন্ধ করে, এবং একজন সতর্ক ক্রেতার IT দল লক্ষ্য করবে যখন এগুলি উপস্থিত থাকে।

আপনার ব্যবসার জন্য মূল বিষয়: এই তিনটির মধ্যে দুটি হেডার পরিশীলিত পপআপ-ফিশিং বন্ধ করে এবং অন্য সাইটগুলিকে আপনার ছবি এবং স্ক্রিপ্ট হটলিংক করা থেকে বিরত রাখে (যা আপনার ব্যান্ডউইথ খরচ করে এবং ডেটা লিক করতে পারে)। এগুলি বিনামূল্যে, একজন ডেভেলপারের প্রায় ১৫ মিনিট লাগে, এবং কিছু ভাঙবে না। তৃতীয়টি উন্নত এবং অ্যানালিটিক্স, ফন্ট এবং এম্বেড ভাঙতে পারে — বেশিরভাগ ব্যবসা এটি বন্ধ রাখা উচিত।

এটি আপনার কতটা খরচ করতে পারে

কেন এটি গুরুত্বপূর্ণ। এগুলি ফরোয়ার্ড-লুকিং ব্রাউজার-হার্ডেনিং হেডার। আমাদের পদ্ধতিতে তিনটিই তথ্যমূলক — এগুলি শূন্য পয়েন্ট সহ নিবন্ধিত এবং কখনো আপনার গ্রেড সরায় না — কারণ এগুলি উন্নত নিয়ন্ত্রণ যা একটি সাইট বৈধভাবে ছাড়াই পরিচালনা করতে পারে। দুটি নিরাপদ (COOP এবং CORP) সত্যিকার অর্থে যোগ করার মূল্য আছে: বিনামূল্যে, দ্রুত, এবং তারা কিছু না ভেঙে বাস্তব পপআপ-ফিশিং এবং রিসোর্স-চুরির ফাঁক বন্ধ করে।

সহজ ভাষায় এগুলি কী

কেউ আপনার ওয়েবসাইট পরিদর্শন করলে, তাদের ব্রাউজার শুধু আপনার পৃষ্ঠাগুলি বিচ্ছিন্নভাবে লোড করে না — এটি এও সিদ্ধান্ত নেয় যে অন্য ওয়েবসাইটগুলি আপনারটির সাথে কীভাবে ইন্টারঅ্যাক্ট করার অনুমতি পাবে। একটি পপআপে আপনার সাইট খুলে অন্য একটি সাইট এটিতে ধরে রাখতে পারে? একটি অন্য সাইট আপনার নিজের পৃষ্ঠায় আপনার ছবি এবং স্ক্রিপ্ট এম্বেড করতে পারে?

এই তিনটি হেডার সংক্ষিপ্ত, অদৃশ্য নির্দেশ যা আপনার ওয়েবসাইট প্রতিটি দর্শনার্থীর ব্রাউজারে পাঠায় ঠিক সেই প্রশ্নগুলির উত্তর দিতে:

তাদের মধ্যে দুটি (COOP এবং CORP) যোগ করা নিরাপদ এবং সত্যিকার অর্থে দরকারী। তৃতীয় (COEP) উন্নত এবং অসাবধানে চালু করলে জিনিস ভাঙতে পারে।

সবচেয়ে গুরুত্বপূর্ণ যা আগে জানতে হবে: আমাদের স্কোরিংয়ে, তিনটিই তথ্যমূলক। এগুলি আপনার গ্রেড প্রভাবিত করে না।

কীভাবে ঠিক করবেন (বিনামূল্যে, ~১৫ মিনিট)

আপনার IT ব্যক্তি বা ওয়েব ডেভেলপারকে এটি হস্তান্তর করুন — ঠিক করা বিনামূল্যে। শুধুমাত্র নির্দেশ: দুটি নিরাপদটি করুন, এবং COEP পরীক্ষা না করে সক্রিয় করবেন না।

দুটি নিরাপদ হেডার (সবার জন্য প্রস্তাবিত)

Cloudflare — Rules → Transform Rules → Modify Response Headers → Set:

Nginx:

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache:

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

উন্নত হেডার (শুধুমাত্র যদি আপনার বিশেষভাবে এটি প্রয়োজন হয়)

স্টেজিংয়ে পরীক্ষা না করে এটি চালু করবেন না। COEP অ্যানালিটিক্স, ফন্ট এবং এম্বেড করা উইজেট ভাঙতে পারে।

Nginx:

add_header Cross-Origin-Embedder-Policy "credentialless" always;

সাধারণ ভুল

FAQ

এগুলি আমার গ্রেড প্রভাবিত করে না — আমার কি আদৌ বিরক্ত করা উচিত?

তাদের মধ্যে দুটি, হ্যাঁ; একটি, সম্ভবত না। COOP এবং CORP বিনামূল্যে, মিনিট নেয়, এবং আপনার সাইট ভাঙবে না — এগুলি বাস্তব আক্রমণ পথ বন্ধ করে। COEP উন্নত এবং তৃতীয় পক্ষের টুল ভাঙতে পারে, তাই বেশিরভাগ ব্যবসা এটি বন্ধ রাখা উচিত।

আমি প্রযুক্তিগত নই — এটি কি এমন কিছু যা আমাকে পদক্ষেপ নিতে হবে?

ব্যক্তিগতভাবে নয়, এবং জরুরিভাবে নয়। কারণ এগুলি তথ্যমূলক, আপনি এগুলি এড়িয়ে গেলে আপনার গ্রেডে কিছু খারাপ হয় না। দুটি নিরাপদটি যোগ করতে চাইলে, যিনি আপনার ওয়েবসাইট বা CDN পরিচালনা করেন তাকে 'কীভাবে ঠিক করবেন' বিভাগটি হস্তান্তর করুন।

এগুলি এবং আমার গ্রেড প্রভাবিত করে এমন হেডারগুলির মধ্যে পার্থক্য কী?

স্কোর করা ওয়েব-সিকিউরিটি হেডারগুলি — HTTPS রিডাইরেক্ট, HSTS, Content-Security-Policy, ক্লিকজ্যাকিং সুরক্ষা এবং MIME-স্নিফিং সুরক্ষা — সাধারণ, ব্যাপকভাবে-শোষিত আক্রমণের বিরুদ্ধে রক্ষা করে। এই পৃষ্ঠার তিনটি (COOP, CORP, COEP) নতুন, আরও বিশেষায়িত ব্রাউজার-আইসোলেশন নিয়ন্ত্রণ।

COOP বা CORP যোগ করা কি আমার ওয়েবসাইট বা আমার অংশীদারদের ইন্টিগ্রেশন ভাঙবে?

প্রস্তাবিত সেটিং (উভয়ই 'same-origin') নিরাপদ হওয়ার জন্য ডিজাইন করা হয়েছে। COOP শুধুমাত্র পপআপে আপনার সাইট খোলা উইন্ডোগুলির লিঙ্ক সেভার করে। CORP শুধুমাত্র অন্য সাইটগুলিকে আপনার ছবি এবং স্ক্রিপ্ট এম্বেড করা থেকে বিরত রাখে।

'হটলিংকিং' আমার কী খরচ করে, সত্যিই?

অন্য একটি সাইট যখন তাদের নিজস্ব কপি হোস্ট করার পরিবর্তে আপনার সার্ভার থেকে সরাসরি আপনার ছবি এম্বেড করে, তাদের পৃষ্ঠার প্রতিটি দর্শনার্থী আপনার কাছ থেকে এটি ডাউনলোড করে — আপনার ব্যান্ডউইথ বিলে। CORP ('same-origin') ব্রাউজার স্তরে এটি বন্ধ করে।

এর প্রতিটির জন্য 'ভালো' কেমন দেখায়?

COOP: একটি Cross-Origin-Opener-Policy হেডার 'same-origin'-এ সেট। CORP: একটি Cross-Origin-Resource-Policy হেডার 'same-origin'-এ সেট। COEP: একটি Cross-Origin-Embedder-Policy হেডার — এবং আপনি যদি এটি সেট করেন, 'credentialless' হলো 'require-corp' এর চেয়ে নিরাপদ মান। COOP এবং CORP উপস্থিত রাখার লক্ষ্য রাখুন; COEP অনুপস্থিত রাখুন যদি না আপনি এটি পরীক্ষা না করেন।