Defaults.Exposed

Defaults.Exposedसुधार › क्रॉस-ऑरिजिन आइसोलेशन हेडर (COOP / CORP / COEP)

क्रॉस-ऑरिजिन आइसोलेशन हेडर (COOP / CORP / COEP) को कैसे ठीक करें

तीन वैकल्पिक ब्राउज़र निर्देश जो यह नियंत्रित करते हैं कि अन्य वेबसाइटें आपकी वेबसाइट के साथ कैसे इंटरैक्ट करने की अनुमति हैं — इसे पॉपअप में खोलना, इसकी छवियों और स्क्रिप्ट एम्बेड करना, या अपने स्वयं के पृष्ठों में इसके संसाधन खींचना। ये आधुनिक हार्डनिंग हैं, बुनियादी आवश्यकता नहीं, और हमारी स्कोरिंग पर ये सूचनात्मक हैं: इनकी कमी आपका ग्रेड कम नहीं करती। लेकिन दो सुरक्षित वाले एक शांत फ़िशिंग और बैंडविड्थ-चोरी अंतराल को बंद करते हैं, और एक सावधान खरीदार की IT टीम उनकी उपस्थिति में नोटिस करेगी।

आपके व्यवसाय के लिए मुख्य बात: इनमें से तीन में से दो हेडर परिष्कृत पॉपअप-फ़िशिंग को बंद करते हैं और अन्य साइटों को आपकी छवियों और स्क्रिप्ट को हॉटलिंक करने से रोकते हैं (जो आपको बैंडविड्थ खर्च करता है और डेटा लीक कर सकता है)। वे मुफ़्त हैं, एक डेवलपर को लगभग 15 मिनट लगते हैं, और कुछ नहीं तोड़ेंगे। तीसरा उन्नत है और एनालिटिक्स, फ़ॉन्ट और एम्बेड तोड़ सकता है — अधिकांश व्यवसायों को इसे बंद रखना चाहिए। इनमें से कोई भी आपका ग्रेड नहीं बदलता — इसलिए इन्हें पॉलिश के रूप में देखें, घबराहट के रूप में नहीं: दो सुरक्षित वाले करें, जोखिम भरा एक छोड़ें जब तक आपको विशेष रूप से इसकी आवश्यकता न हो।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। ये फॉरवर्ड-लुकिंग ब्राउज़र-हार्डनिंग हेडर हैं। हमारी पद्धति पर सभी तीन सूचनात्मक हैं — वे शून्य अंकों के साथ पंजीकृत हैं और कभी भी आपका ग्रेड नहीं बदलते — क्योंकि वे उन्नत नियंत्रण हैं जो एक साइट वैध रूप से बिना संचालित कर सकती है, और उनमें से एक गलत लागू होने पर नुकसान कर सकता है। हम उन्हें रिपोर्ट करते हैं ताकि आप देख सकें कि आप कहाँ खड़े हैं। दो सुरक्षित वाले (COOP और CORP) वास्तव में जोड़ने योग्य हैं: मुफ्त, तेज, और वे बिना कुछ तोड़े वास्तविक पॉपअप-फ़िशिंग और संसाधन-चोरी अंतराल बंद करते हैं।

ये क्या हैं, सरल शब्दों में

जब कोई आपकी वेबसाइट पर जाता है, तो उनका ब्राउज़र केवल आपके पेज अलगाव में लोड नहीं करता — यह यह भी तय करता है कि अन्य वेबसाइटें आपकी वेबसाइट के साथ कैसे इंटरैक्ट करने की अनुमति हैं। क्या कोई अन्य साइट आपकी साइट को एक पॉपअप में खोल सकती है और उसे पकड़ सकती है? क्या कोई अन्य साइट आपकी छवियों और स्क्रिप्ट को अपने स्वयं के पेजों में एम्बेड कर सकती है?

ये तीन हेडर छोटे, अदृश्य निर्देश हैं जो आपकी वेबसाइट हर विज़िटर के ब्राउज़र को उन सवालों का जवाब देने के लिए भेजती है। वे अपने संक्षिप्त नाम से जाने जाते हैं:

उनमें से दो (COOP और CORP) जोड़ने के लिए सुरक्षित और वास्तव में उपयोगी हैं। तीसरा (COEP) उन्नत है और लापरवाही से चालू करने पर चीजें तोड़ सकता है।

सबसे महत्वपूर्ण बात: हमारी स्कोरिंग पर, तीनों सूचनात्मक हैं। वे आपका ग्रेड प्रभावित नहीं करते।

यह आपको क्या नुकसान पहुंचा सकता है

ये विशिष्ट जोखिम हैं, हेडलाइन वाले नहीं — लेकिन वे वास्तविक हैं, और सुधार मुफ्त हैं।

प्रत्येक वास्तव में क्या है

COOP — Cross-Origin-Opener-Policy (सुरक्षित, अनुशंसित)

जब कोई अन्य वेबसाइट पॉपअप या window.open का उपयोग करके आपकी साइट खोलती है, तो दो विंडो सामान्यतः एक-दूसरे का संदर्भ रख सकती हैं। COOP: same-origin उस संबंध को तोड़ता है। सामान्य ब्राउज़िंग, आपके अपने आंतरिक लिंक, और साधारण नेविगेशन पूरी तरह अप्रभावित हैं।

अच्छा कैसा दिखता है: Cross-Origin-Opener-Policy: same-origin.

CORP — Cross-Origin-Resource-Policy (सुरक्षित, अनुशंसित)

डिफ़ॉल्ट रूप से, आपकी छवियां, स्क्रिप्ट और अन्य फ़ाइलें कहीं भी किसी भी साइट द्वारा एम्बेड की जा सकती हैं। CORP: same-origin ब्राउज़रों को आपके संसाधनों की क्रॉस-ऑरिजिन एम्बेडिंग अस्वीकार करने के लिए कहता है।

अच्छा कैसा दिखता है: Cross-Origin-Resource-Policy: same-origin.

COEP — Cross-Origin-Embedder-Policy (उन्नत, आमतौर पर बंद छोड़ें)

COEP “क्रॉस-ऑरिजिन आइसोलेशन” पूरा करता है। लेकिन क्योंकि यह मांग करता है कि आप जो कुछ भी लोड करते हैं वह स्पष्ट रूप से ऑप्ट-इन करे, यह आसानी से तृतीय-पक्ष टूल तोड़ता है। अधिकांश वेबसाइटों को इसकी जरूरत नहीं है।

अच्छा कैसा दिखता है: इसे जरूरत हो उस दुर्लभ साइट के लिए, Cross-Origin-Embedder-Policy: credentialless। बाकी सभी के लिए, अनुपस्थित ठीक है

इसे कैसे ठीक करें (मुफ्त, ~15 मिनट)

इसे अपने IT व्यक्ति या वेब डेवलपर को सौंपें — सुधार मुफ्त है। केवल निर्देश: दो सुरक्षित वाले करें, और बिना परीक्षण के COEP सक्षम न करें।

दो सुरक्षित हेडर (सभी के लिए अनुशंसित)

Cloudflare — Rules → Transform Rules → Modify Response Headers → सेट करें:

Nginx:

add_header Cross-Origin-Opener-Policy   "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;

Apache:

Header always set Cross-Origin-Opener-Policy   "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"

ये जोड़ने के लिए सुरक्षित हैं और सामान्य कार्यक्षमता नहीं तोड़ेंगे।

उन्नत हेडर (केवल तभी यदि आपको विशेष रूप से इसकी आवश्यकता हो)

पहले staging में परीक्षण किए बिना इसे चालू न करें।

add_header Cross-Origin-Embedder-Policy "credentialless" always;

require-corp के बजाय credentialless उपयोग करें — यह बाहरी संसाधनों को तोड़ने की संभावना कम है।

ग्रेड पर एक नोट

पूरी तरह स्पष्ट रूप से: इनमें से तीन में से कोई भी जाँच आपका ग्रेड प्रभावित नहीं करती। वे शून्य अंकों के साथ सूचनात्मक के रूप में पंजीकृत हैं। यदि आप दो सुरक्षित वाले जोड़ते हैं, तो आपने मुफ्त में कुछ वास्तविक (यदि विशिष्ट) अंतराल बंद कर दिए हैं।

अक्सर पूछे जाने वाले प्रश्न

ये मेरा ग्रेड प्रभावित नहीं करते — क्या मुझे बिल्कुल भी परेशान होना चाहिए?

दो के लिए, हाँ; एक के लिए, शायद नहीं। COOP और CORP मुफ्त हैं, मिनट लेते हैं, और आपकी साइट नहीं तोड़ेंगे — वे वास्तविक (यदि विशिष्ट) हमले पथ बंद करते हैं, इसलिए सस्ते स्वच्छता के रूप में करने योग्य हैं। COEP उन्नत है और तृतीय-पक्ष टूल तोड़ सकता है, इसलिए अधिकांश व्यवसायों को इसे बंद रखना चाहिए जब तक वे विशेष रूप से इसके द्वारा अनलॉक किए गए ब्राउज़र सुविधाओं की आवश्यकता न हो।

मैं तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जो मुझे एक्शन लेना है?

व्यक्तिगत रूप से नहीं, और तत्काल नहीं। क्योंकि ये सूचनात्मक हैं, यदि आप इन्हें छोड़ते हैं तो आपके ग्रेड के साथ कुछ बुरा नहीं होता। यदि आप दो सुरक्षित वाले जोड़ना चाहते हैं, तो नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या CDN प्रबंधित करता है उसे सौंपें।

इन हेडरों और उन हेडरों के बीच क्या अंतर है जो मेरा ग्रेड प्रभावित करते हैं?

स्कोर किए गए वेब-सुरक्षा हेडर — HTTPS रीडायरेक्ट, HSTS, Content-Security-Policy, क्लिकजैकिंग सुरक्षा (X-Frame-Options), और MIME-स्निफिंग सुरक्षा — सामान्य, व्यापक रूप से शोषित हमलों के खिलाफ बचाव करते हैं। इस पेज पर तीन (COOP, CORP, COEP) नए, अधिक विशेष ब्राउज़र-आइसोलेशन नियंत्रण हैं। स्कोर किए गए वाले पहले करें; ये ऊपर पॉलिश हैं।

क्या COOP या CORP जोड़ने से मेरी वेबसाइट या मेरे साझेदारों के एकीकरण टूट जाएंगे?

अनुशंसित सेटिंग (दोनों 'same-origin') सुरक्षित डिज़ाइन की गई हैं। COOP केवल उन विंडो के लिए लिंक को काटता है जो आपकी साइट पॉपअप में खोलती है — सामान्य ब्राउज़िंग, आपके अपने पृष्ठ, और साधारण लिंक अप्रभावित हैं। CORP केवल अन्य साइटों को आपकी छवियों और स्क्रिप्ट एम्बेड करने से रोकता है। वह जो वास्तव में ब्रेकेज का जोखिम रखता है वह COEP है — उसे परीक्षण के बिना न चालू करें।

'हॉटलिंकिंग' वास्तव में मुझे कितना खर्च करती है?

जब कोई अन्य साइट आपकी छवि या स्क्रिप्ट को सीधे आपके सर्वर से एम्बेड करती है, तो उनकी साइट का हर विज़िटर इसे आप से डाउनलोड करता है — आपके बैंडविड्थ बिल पर, और आपकी संपत्ति एक ऐसे संदर्भ में दिखाई देती है जिसे आपने मंजूरी नहीं दी। CORP ('same-origin') इसे ब्राउज़र स्तर पर रोकता है।

इनमें से प्रत्येक के लिए 'अच्छा' कैसा दिखता है?

COOP: एक Cross-Origin-Opener-Policy हेडर 'same-origin' पर सेट। CORP: एक Cross-Origin-Resource-Policy हेडर 'same-origin' पर सेट। COEP: एक Cross-Origin-Embedder-Policy हेडर — और यदि आप इसे बिल्कुल सेट करते हैं, तो 'credentialless' 'require-corp' से सुरक्षित मान है। COOP और CORP उपस्थित होने का लक्ष्य रखें; COEP अनुपस्थित रखें जब तक आपने इसका परीक्षण न किया हो।