Defaults.Exposed

Defaults.Exposedসমাধান › Content-Security-Policy (CSP)

Content-Security-Policy (CSP) ঠিক করার উপায়

একটি Content Security Policy হলো একটি নিরাপত্তা নিয়ম যা আপনার ওয়েবসাইট প্রতিটি দর্শনার্থীর ব্রাউজারকে দেয়, এটিকে ঠিক কোন কোড চালানোর অনুমতি আছে তা বলে। এটি ছাড়া, যদি কোনো দুর্ভাগ্যজনক জিনিস একটি পৃষ্ঠায় পড়ে — একটি মন্তব্য বাক্স, একটি হ্যাক করা প্লাগইন, বা একটি তৃতীয়-পক্ষ স্ক্রিপ্টের মাধ্যমে — ব্রাউজার এটি অবাধে চালাবে, যেমন কোড যা চুপচাপ আপনার গ্রাহকদের কার্ড নম্বর এবং পাসওয়ার্ড টাইপ করার সাথে সাথে স্কিম করে, প্যাডলক এখনো দেখাতে থাকে।

আপনার ব্যবসার জন্য মূল বিষয়: আপনার সাইটে যদি কখনো টেম্পার করা হয়, দুর্ভাগ্যজনক কোড আপনার নিজের চেকআউটে আপনার গ্রাহকদের পেমেন্ট-কার্ড এবং লগইন বিবরণ পড়তে পারে যখন সবকিছু সম্পূর্ণ স্বাভাবিক দেখায় — আপনাকে চার্জব্যাক, জালিয়াতি দাবি, একটি রিপোর্টযোগ্য ডেটা লঙ্ঘন, এবং একটি চেক ব্যর্থতা দেখায় যা বড় ক্লায়েন্টদের নিরাপত্তা দল একটি চুক্তি থামাতে বা মেরে ফেলতে ব্যবহার করে।

এটি আপনার কতটা খরচ করতে পারে

কেন এটি গুরুত্বপূর্ণ। প্যাডলক প্রমাণ করে আপনার সাইটের সংযোগ ব্যক্তিগত, কিন্তু একজন দর্শনার্থী পৃষ্ঠায় থাকলে কোন কোড চলে তা নিয়ন্ত্রণ করতে কিছু করে না। একটি Content Security Policy হলো সেই সুরক্ষা যা করে — এটি ব্রাউজারকে যেকোনো স্ক্রিপ্ট উপেক্ষা করতে বলে যা আপনার বিশ্বাসযোগ্য উৎস থেকে আসেনি, তাই একটি একক টেম্পার করা ক্ষেত্র, বিজ্ঞাপন বা প্লাগইন আপনার গ্রাহকদের অর্থ এবং ডেটা চুরি করার একটি হাতিয়ারে পরিণত হতে পারে না।

সহজ ভাষায় এটি কী

যখন কেউ আপনার ওয়েবসাইট পরিদর্শন করে, তাদের ব্রাউজার আপনার পৃষ্ঠা ডাউনলোড করে এবং এতে যা কোড আছে তা চালায় — মেনু ড্রপ ডাউন করার, বোতাম কাজ করার, পেমেন্ট ফর্ম সাবমিট করার স্ক্রিপ্ট। ডিফল্টরূপে, ব্রাউজার এর সবকিছু বিশ্বাস করে।

একটি Content Security Policy (প্রায়ই সংক্ষেপে CSP) হলো আপনার ওয়েবসাইট প্রতিটি পৃষ্ঠায় সংযুক্ত নিয়মের একটি ছোট তালিকা, ব্রাউজারকে বলে: “শুধুমাত্র এই উৎসগুলি থেকে কোড চালাও যা আমি অনুমোদন করেছি, এবং বাকি সবকিছু প্রত্যাখ্যান করো।“

এটি আপনার কী খরচ করতে পারে

এটি আসলে কী (বিবরণ)

একটি Content Security Policy একটি একক HTTP প্রতিক্রিয়া হেডার হিসেবে ডেলিভারি করা হয়। উদাহরণস্বরূপ:

Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'; frame-ancestors 'self'

‘ভালো’ দেখতে কেমন। একটি শক্তিশালী পলিসি:

কীভাবে ঠিক করবেন (বিনামূল্যে, ~১–২ ঘণ্টা)

আপনার IT ব্যক্তি বা ওয়েবসাইট পরিচালনাকারীকে এটি দিন — ঠিক করা নিজেই সম্পূর্ণ বিনামূল্যে।

  1. Report-only মোডে শুরু করুন — এখনই এনফোর্স করবেন না। একটি Content-Security-Policy-Report-Only রেসপন্স হেডার যোগ করুন।

  2. আপনার সাইট আসলে কী ব্যবহার করে তা থেকে পলিসি তৈরি করুন।

  3. সম্পূর্ণ বিষয়টি পরাজিত করে এমন লুপহোল এড়িয়ে চলুন। স্ক্রিপ্টের জন্য 'unsafe-inline' এবং 'unsafe-eval' থেকে দূরে থাকুন।

  4. Framing এবং প্লাগইন লক ডাউন করুন। frame-ancestors 'self' এবং object-src 'none' যোগ করুন।

  5. Report-only থেকে এনফোর্সিং-এ পরিবর্তন করুন। হেডারের নাম Content-Security-Policy-Report-Only থেকে Content-Security-Policy-এ পরিবর্তন করুন।

    হেডার কোথায় সেট করবেন:

    • Cloudflare: Rules → Transform Rules → Modify Response Header
    • Nginx: add_header Content-Security-Policy "...";
    • Apache: Header always set Content-Security-Policy "..."
    • IIS (web.config): একটি কাস্টম HTTP রেসপন্স হেডার যোগ করুন
  6. আপনার ডোমেইন পুনরায় পরীক্ষা করুন।

সাধারণ ভুল

FAQ

আমি প্রযুক্তিগত নই — আমি কি এটি নিজে সামলাতে পারি?

আপনাকে বিবরণ বুঝতে হবে না। এটি আপনার ওয়েবসাইট বা হোস্টিং পরিচালনাকারীর দ্বারা যোগ করা একটি সেটিং, এবং Cloudflare-এর মতো পরিষেবায় এটি মূলত গাইড করা। তাদের নিচের 'কীভাবে ঠিক করবেন' বিভাগটি হস্তান্তর করুন।

আমার ইতিমধ্যে প্যাডলক এবং একটি SSL সার্টিফিকেট আছে — আমার সাইট কি নিরাপদ নয়?

প্যাডলক আপনার পৃষ্ঠার ডেলিভারি সুরক্ষিত করে; এটি তার ভেতরে কী চলে তা নিয়ন্ত্রণ করে না। একটি Content Security Policy হলো সেই স্তর যা প্রথম স্থানে কী চালানোর অনুমতি তা সীমিত করে।

এটি চালু করা কি আমার সাইট ভাঙতে পারে?

এটি পারে যদি একবারে আক্রমণাত্মকভাবে চালু করা হয়। সেই কারণে আদর্শ পদ্ধতি হলো একটি 'report-only' ট্রায়াল মোডে শুরু করা যা ব্লক না করে পর্যবেক্ষণ করে।

আমরা এটি 'report-only' মোডে রেখেছি — আমরা কি কভার?

না, এবং এটি সবচেয়ে সাধারণ মিথ্যা নিরাপত্তা অনুভূতি। Report-only মোড পর্যবেক্ষণ করে এবং লগ করে কী ব্লক হবে, কিন্তু কিছু ব্লক করে না — দর্শনার্থীরা শূন্য বাস্তব সুরক্ষা পায়।

এটি কি আমাদের স্কোর প্রভাবিত করে, নাকি এটি শুধু পরামর্শমূলক?

এটি আপনার স্কোর প্রভাবিত করে। Content Security Policy চেক গ্রেডযুক্ত এবং Web Security বিভাগে ২৫ পয়েন্ট পর্যন্ত মূল্যের।

আমাদের ডেভেলপার একটি পলিসি যোগ করেছে কিন্তু স্কোর এখনো কম — কেন?

একটি পলিসি বিদ্যমান থাকতে পারে এবং এখনো দুর্বল হতে পারে। সবচেয়ে সাধারণ অপরাধীরা হলো 'unsafe-inline' এবং 'unsafe-eval' এর মতো লুপহোল।