Defaults.Exposed › সমাধান › Referrer-Policy
Referrer-Policy ঠিক করার উপায়
একটি Referrer-Policy হলো একটি এক-লাইনের নির্দেশ যা আপনার ওয়েবসাইট প্রতিটি দর্শনার্থীর ব্রাউজারকে দেয়, তারা অন্য সাইটে একটি লিঙ্ক ক্লিক করলে আপনার ওয়েব ঠিকানার কতটুকু তাদের সাথে যায় তা নিয়ন্ত্রণ করে। এটি ছাড়া, তারা যে পৃষ্ঠায় ছিলেন তার সম্পূর্ণ ঠিকানা — অনুসন্ধান শর্তাবলী, অ্যাকাউন্ট নম্বর, রিসেট লিঙ্ক, অভ্যন্তরীণ পৃষ্ঠা পথ এবং সবকিছু — চুপচাপ পরবর্তী সাইটে হস্তান্তর করা হয় যেখানে তারা পৌঁছান, বিজ্ঞাপনদাতা, অ্যানালিটিক্স ফার্ম এবং একটি লিঙ্ক যেখানে নির্দেশ করে তা সহ।
আপনার ব্যবসার জন্য মূল বিষয়: প্রতিবার একজন দর্শনার্থী একটি বাইরের লিঙ্ক, বিজ্ঞাপন বা শেয়ার্ড রিসোর্সে ক্লিক করলে, তাদের ব্রাউজার গন্তব্যে আপনার পৃষ্ঠার সম্পূর্ণ ঠিকানা হস্তান্তর করতে পারে — এবং যদি আপনার ঠিকানায় অনুসন্ধান প্রশ্ন, গ্রাহক আইডি, অর্ডার নম্বর বা একক-সময়ের লিঙ্ক থাকে, তাহলে আপনি আপনার নিয়ন্ত্রণ নেই এমন তৃতীয় পক্ষের কাছে গ্রাহকের ডেটা লিক করছেন।
এটি আপনার কতটা খরচ করতে পারে
- একজন গ্রাহক একটি ফর্ম পূরণ করেন বা একটি অনুসন্ধান চালান, তারপর একটি বাইরের লিঙ্ক বা বিজ্ঞাপনে ক্লিক করেন — এবং পৃষ্ঠার ঠিকানা, তারা যা টাইপ করেছেন তা সম্পূর্ণ, একজন বিজ্ঞাপনদাতা বা অ্যানালিটিক্স ফার্মের কাছে সরাসরি হস্তান্তর করা হয়।
- পাসওয়ার্ড-রিসেট এবং অ্যাকাউন্ট-নিশ্চিতকরণ লিঙ্কগুলি মাঝে মাঝে ওয়েব ঠিকানায় একটি গোপন টোকেন বহন করে।
- ব্যক্তিগত অভ্যন্তরীণ পৃষ্ঠা পথ (অ্যাডমিন এলাকা, শুধুমাত্র-গ্রাহক পৃষ্ঠা, মূল্য স্তর, নথি লিঙ্ক) প্রতিটি তৃতীয় পক্ষের কাছে প্রকাশিত হয়।
- একজন ক্লায়েন্টের নিরাপত্তা পর্যালোচনা বা গোপনীয়তা অডিট আপনার সাইট স্ক্যান করে, কোনো Referrer-Policy দেখে না, এবং এটি ডেটা-মিনিমাইজেশন ব্যর্থতা হিসেবে লগ করে।
- ব্যক্তিগত ডেটা এমন প্রসেসরদের হাতে পৌঁছায় যাদের সাথে আপনার কোনো চুক্তি নেই।
কেন এটি গুরুত্বপূর্ণ। ব্রাউজারগুলি, নিজেদের কাছে ছেড়ে দিলে, বাচাল: ডিফল্টরূপে তারা পরবর্তী ওয়েবসাইটকে বলে একজন দর্শনার্থী কোথা থেকে আসছে, প্রায়ই পৃষ্ঠার সম্পূর্ণ ঠিকানা সহ। একটি Referrer-Policy হলো একক সেটিং যা ব্রাউজারকে অতিরিক্ত শেয়ার করা বন্ধ করতে বলে।
সহজ ভাষায় এটি কী
প্রতিবার আপনার ওয়েবসাইটে একজন দর্শনার্থী অন্য সাইটে একটি লিঙ্কে ক্লিক করেন — একটি বাইরের লিঙ্ক, একটি ব্যানার বিজ্ঞাপন, একটি “এটি শেয়ার করুন”, এমনকি অন্য কোথাও থেকে লোড করা একটি ফন্ট বা ছবি — তাদের ব্রাউজার চুপচাপ একটি নোট সংযুক্ত করে যে তারা আপনার কোন পৃষ্ঠা থেকে এসেছে। সেই নোটকে referrer বলা হয়।
একটি Referrer-Policy হলো একটি একক নির্দেশ যা আপনার ওয়েবসাইট ব্রাউজারকে পাঠায় বলে সেই নোটটি কতটুকু শেয়ার করার অনুমতি আছে।
এটি আপনার কী খরচ করতে পারে
-
লিক করা অনুসন্ধান। একজন গ্রাহক আপনার সাইটে কিছু সংবেদনশীল খোঁজেন — একটি চিকিৎসা পণ্য, একটি ঋণ-সম্পর্কিত পরিষেবা — এবং অনুসন্ধান শর্তটি পৃষ্ঠার ঠিকানায় পৌঁছায়। তারপর তারা একটি বাইরের লিঙ্কে ক্লিক করেন।
-
প্রকাশিত রিসেট লিঙ্ক। অনেক সিস্টেম পাসওয়ার্ড-রিসেট, ইমেইল-নিশ্চিতকরণ বা “ম্যাজিক লগইন” পৃষ্ঠার ঠিকানায় একটি গোপন একক-সময়ের টোকেন রাখে।
-
আপনি বিনামূল্যে যে সাইট ম্যাপ দিয়েছিলেন। আপনার অভ্যন্তরীণ পৃষ্ঠা পথগুলি প্রায়ই আপনার কাঠামো প্রকাশ করে: /admin, /enterprise-pricing, /clients/acme।
-
অনাকাঙ্ক্ষিত ডেটা-শেয়ারিং সম্পর্ক। গোপনীয়তা আইন আশা করে আপনি জানবেন আপনার গ্রাহকদের ব্যক্তিগত ডেটা কোথায় যায় এবং একটি চুক্তি আছে।
-
যথাযথ পরিশ্রমে থেমে যাওয়া চুক্তি।
এটি আসলে কী
আপনি এই মানগুলি থেকে একটি নিয়ম বেছে নিচ্ছেন:
- no-referrer — কিছু শেয়ার করবেন না।
- same-origin — শুধুমাত্র আপনার নিজের সাইটে পৃষ্ঠাগুলির মধ্যে সম্পূর্ণ ঠিকানা শেয়ার করুন।
- strict-origin-when-cross-origin — প্রস্তাবিত ডিফল্ট। আপনার নিজের সাইটে সম্পূর্ণ পথ শেয়ার করা হয়; বাইরের সাইটগুলিতে, শুধুমাত্র আপনার bare ডোমেইন নাম শেয়ার করা হয়।
- origin — সর্বদা শুধু আপনার ডোমেইন নাম শেয়ার করুন।
এবং এড়ানোর দুটি মান:
- unsafe-url — সবসময় সবার সাথে সম্পূর্ণ ঠিকানা শেয়ার করুন।
- no-referrer-when-downgrade — পুরানো ব্রাউজার ডিফল্ট; এটি এখনো অন্য নিরাপদ সাইটগুলিতে সম্পূর্ণ ঠিকানা পাঠায়।
কীভাবে ঠিক করবেন (বিনামূল্যে, প্রায় ৫ মিনিট)
আপনার IT ব্যক্তি, ওয়েব ডেভেলপার বা হোস্টিং সাপোর্টে এই বিভাগটি হস্তান্তর করুন — ঠিক করা বিনামূল্যে।
Cloudflare (কোনো কোড নেই — সবচেয়ে সহজ):
Dashboard → আপনার ডোমেইন → Rules → Transform Rules → Modify Response Header → Create rule → Set static → Header name Referrer-Policy, value strict-origin-when-cross-origin → সমস্ত আসা অনুরোধে প্রযোজ্য → Deploy।
Nginx:
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Apache (সাইট কনফিগ বা .htaccess-এ):
Header always set Referrer-Policy "strict-origin-when-cross-origin"
IIS (web.config):
<httpProtocol><customHeaders>
<add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>
Node / Express:
app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });
সাধারণ ভুল
- একটি অনুমতিমূলক মান সেট করা এবং ধরে নেওয়া এটি গণনা করে।
unsafe-urlএবংno-referrer-when-downgradeউভয়ই এখনো সম্পূর্ণ ঠিকানা লিক করে। - শুধুমাত্র হোমপেজে সেট করা।
- শুধুমাত্র HTML
<meta>ট্যাগে সেট করা। - এক স্তর অন্যটিকে ওভাররাইড করতে দেওয়া।
- URLs থেকে ডেটা দূরে রাখার বিকল্প হিসেবে বিবেচনা করা।
সম্পর্কিত হেডারগুলিতে একটি দ্রুত নোট
Referrer-Policy আমরা চেক করি অন্য ওয়েব নিরাপত্তা হেডারগুলির একটি ছোট পরিবারের পাশে বসে — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, এবং কিছু উন্নত ক্রস-অরিজিন হেডার। তারা ভিন্ন জিনিস রক্ষা করে।
সংক্ষেপে
Referrer-Policy হলো আপনার স্কোরকার্ডে সবচেয়ে সস্তা, নিরাপদ গোপনীয়তা সংশোধন: এক লাইন, প্রায় পাঁচ মিনিট, কিছু ভাঙার ঝুঁকি নেই, এবং বিনামূল্যে। এটি strict-origin-when-cross-origin-এ সেট করুন, নিশ্চিত করুন এটি প্রতিটি পৃষ্ঠায় লাইভ, এবং মধ্যম-তীব্রতার ফাঁক এবং এর ১৫ পয়েন্ট বন্ধ।
FAQ
আমি প্রযুক্তিগত নই — এটি কি আমি আসলে সামলাতে পারি?
হ্যাঁ, এবং এটি পুরো স্কোরকার্ডে সবচেয়ে সহজ সংশোধনগুলির মধ্যে একটি। এটি আপনার ওয়েবসাইট বা হোস্টিং পরিচালনাকারীর দ্বারা যোগ করা একটি একক লাইন।
এখানে 'referrer' মানে কী?
যখন কেউ আপনার পৃষ্ঠা থেকে অন্য একটি ওয়েবসাইটে একটি লিঙ্ক ক্লিক করে, তাদের ব্রাউজার একটি নোট পাঠায় যে তারা কোথা থেকে এসেছে — সেই নোটকে referrer বলা হয়।
আমার সাইট পেমেন্ট পরিচালনা না করলে কি এটি বিরক্ত করার যোগ্য?
প্রায় নিশ্চিত হ্যাঁ। চেকআউট ছাড়াও আপনার ওয়েব ঠিকানায় ব্যক্তিগত তথ্য থাকতে পারে।
এটি চালু করা কি আমার সাইট বা আমার অ্যানালিটিক্স ভাঙতে পারে?
না। এটি নিরাপদ হেডারগুলির মধ্যে একটি — এটি শুধুমাত্র অন্য সাইটগুলির সাথে কতটা ঠিকানা বিবরণ শেয়ার করা হয় তা নিয়ন্ত্রণ করে।
এটি কি গোপনীয়তা-আইনের সমস্যা নাকি শুধু একটি ভালো-থেকে-থাকা?
এটি একটি বাস্তব সম্মতি সমস্যা হতে পারে। ডেটা-সুরক্ষা নিয়মগুলি আপনাকে শুধুমাত্র ন্যূনতম প্রয়োজনীয় ব্যক্তিগত ডেটা সংগ্রহ এবং শেয়ার করতে প্রয়োজন।
এটি কি আমাদের গ্রেড প্রভাবিত করে, নাকি এটি শুধু পরামর্শ?
এটি আপনার গ্রেড প্রভাবিত করে। Referrer-Policy চেক গ্রেডযুক্ত এবং Web Security বিভাগে ১৫ পয়েন্ট পর্যন্ত মূল্যের।