Defaults.Exposed › सुधार › क्रॉस-ऑरिजिन आइसोलेशन हेडर (COOP / CORP / COEP)
क्रॉस-ऑरिजिन आइसोलेशन हेडर (COOP / CORP / COEP) को कैसे ठीक करें
तीन वैकल्पिक ब्राउज़र निर्देश जो यह नियंत्रित करते हैं कि अन्य वेबसाइटें आपकी वेबसाइट के साथ कैसे इंटरैक्ट करने की अनुमति हैं — इसे पॉपअप में खोलना, इसकी छवियों और स्क्रिप्ट एम्बेड करना, या अपने स्वयं के पृष्ठों में इसके संसाधन खींचना। ये आधुनिक हार्डनिंग हैं, बुनियादी आवश्यकता नहीं, और हमारी स्कोरिंग पर ये सूचनात्मक हैं: इनकी कमी आपका ग्रेड कम नहीं करती। लेकिन दो सुरक्षित वाले एक शांत फ़िशिंग और बैंडविड्थ-चोरी अंतराल को बंद करते हैं, और एक सावधान खरीदार की IT टीम उनकी उपस्थिति में नोटिस करेगी।
आपके व्यवसाय के लिए मुख्य बात: इनमें से तीन में से दो हेडर परिष्कृत पॉपअप-फ़िशिंग को बंद करते हैं और अन्य साइटों को आपकी छवियों और स्क्रिप्ट को हॉटलिंक करने से रोकते हैं (जो आपको बैंडविड्थ खर्च करता है और डेटा लीक कर सकता है)। वे मुफ़्त हैं, एक डेवलपर को लगभग 15 मिनट लगते हैं, और कुछ नहीं तोड़ेंगे। तीसरा उन्नत है और एनालिटिक्स, फ़ॉन्ट और एम्बेड तोड़ सकता है — अधिकांश व्यवसायों को इसे बंद रखना चाहिए। इनमें से कोई भी आपका ग्रेड नहीं बदलता — इसलिए इन्हें पॉलिश के रूप में देखें, घबराहट के रूप में नहीं: दो सुरक्षित वाले करें, जोखिम भरा एक छोड़ें जब तक आपको विशेष रूप से इसकी आवश्यकता न हो।
यह आपको क्या खर्च कर सकता है
- एक स्कैमर आपकी वास्तविक साइट को एक पॉपअप विंडो में खोलता है और इसका रिमोट कंट्रोल रखता है — जैसे ही ग्राहक का ध्यान हटता है, आपके ग्राहक को चुपचाप एक नकली लॉगिन पर रीडायरेक्ट करता है। सुरक्षित हेडर (COOP) उस नियंत्रण लिंक को पूरी तरह काट देता है।
- अन्य वेबसाइटें आपके उत्पाद फ़ोटो, लोगो और स्क्रिप्ट को सीधे आपके सर्वर से एम्बेड करती हैं (हॉटलिंकिंग) — आप हर बार बैंडविड्थ के लिए भुगतान करते हैं जब उनके विज़िटर पेज लोड करते हैं, और आपकी संपत्तियां उन साइटों पर दिखाई देती हैं जिन्हें आप कभी मंजूरी नहीं देंगे।
- एक संभावित ग्राहक की सुरक्षा टीम हस्ताक्षर करने से पहले एक हेडर स्कैन चलाती है और देखती है कि आपने आधुनिक क्रॉस-ऑरिजिन हार्डनिंग जोड़ी है — छोटा संकेत, लेकिन यह आपको 'वे इसे गंभीरता से लेते हैं' कॉलम में रखता है बजाय 'न्यूनतम' वाले कॉलम में।
- एक डेवलपर, पूरी तरह से होने की कोशिश करते हुए, परीक्षण के बिना उन्नत आइसोलेशन हेडर (COEP) चालू करता है — और रात भर में आपके Google Analytics, वेब फ़ॉन्ट और एम्बेडेड बुकिंग विजेट को तोड़ देता है। यह जानना कि कौन सा हेडर सुरक्षित है और कौन सा जोखिम भरा है, स्व-निर्मित आउटेज से बचाता है।
- एक ऑडिटर की चेकलिस्ट में क्रॉस-ऑरिजिन आइसोलेशन का उल्लेख है; आप दो सुरक्षित वालों पर 'उपस्थित और सही' दिखाना चाहेंगे बजाय यह समझाने के कि वहाँ कुछ क्यों नहीं है।
यह क्यों मायने रखता है। ये फॉरवर्ड-लुकिंग ब्राउज़र-हार्डनिंग हेडर हैं। हमारी पद्धति पर सभी तीन सूचनात्मक हैं — वे शून्य अंकों के साथ पंजीकृत हैं और कभी भी आपका ग्रेड नहीं बदलते — क्योंकि वे उन्नत नियंत्रण हैं जो एक साइट वैध रूप से बिना संचालित कर सकती है, और उनमें से एक गलत लागू होने पर नुकसान कर सकता है। हम उन्हें रिपोर्ट करते हैं ताकि आप देख सकें कि आप कहाँ खड़े हैं। दो सुरक्षित वाले (COOP और CORP) वास्तव में जोड़ने योग्य हैं: मुफ्त, तेज, और वे बिना कुछ तोड़े वास्तविक पॉपअप-फ़िशिंग और संसाधन-चोरी अंतराल बंद करते हैं।
ये क्या हैं, सरल शब्दों में
जब कोई आपकी वेबसाइट पर जाता है, तो उनका ब्राउज़र केवल आपके पेज अलगाव में लोड नहीं करता — यह यह भी तय करता है कि अन्य वेबसाइटें आपकी वेबसाइट के साथ कैसे इंटरैक्ट करने की अनुमति हैं। क्या कोई अन्य साइट आपकी साइट को एक पॉपअप में खोल सकती है और उसे पकड़ सकती है? क्या कोई अन्य साइट आपकी छवियों और स्क्रिप्ट को अपने स्वयं के पेजों में एम्बेड कर सकती है?
ये तीन हेडर छोटे, अदृश्य निर्देश हैं जो आपकी वेबसाइट हर विज़िटर के ब्राउज़र को उन सवालों का जवाब देने के लिए भेजती है। वे अपने संक्षिप्त नाम से जाने जाते हैं:
- COOP — Cross-Origin-Opener-Policy. यह नियंत्रित करता है कि क्या अन्य साइटें जो आपकी साइट को पॉपअप विंडो में खोलती हैं, उसका रिमोट कंट्रोल रख सकती हैं।
- CORP — Cross-Origin-Resource-Policy. यह नियंत्रित करता है कि क्या अन्य साइटों को आपकी छवियों, स्क्रिप्ट और अन्य फ़ाइलों को अपने पेजों में एम्बेड करने की अनुमति है।
- COEP — Cross-Origin-Embedder-Policy. एक उन्नत नियंत्रण जो, COOP के साथ, आपके पेज को “आइसोलेट” करता है ताकि यह कुछ शक्तिशाली ब्राउज़र सुविधाओं को सुरक्षित रूप से उपयोग कर सके।
उनमें से दो (COOP और CORP) जोड़ने के लिए सुरक्षित और वास्तव में उपयोगी हैं। तीसरा (COEP) उन्नत है और लापरवाही से चालू करने पर चीजें तोड़ सकता है।
सबसे महत्वपूर्ण बात: हमारी स्कोरिंग पर, तीनों सूचनात्मक हैं। वे आपका ग्रेड प्रभावित नहीं करते।
यह आपको क्या नुकसान पहुंचा सकता है
ये विशिष्ट जोखिम हैं, हेडलाइन वाले नहीं — लेकिन वे वास्तविक हैं, और सुधार मुफ्त हैं।
-
पॉपअप फ़िशिंग जो आपकी वास्तविक साइट का रिमोट कंट्रोल रखती है। COOP के बिना, एक स्कैमर का पेज आपकी वास्तविक वेबसाइट को एक पॉपअप विंडो में खोल सकता है और उस पर एक लाइव संदर्भ रख सकता है। COOP सेट करने से यह नियंत्रण लिंक टूट जाता है।
-
अन्य साइटें आपकी बैंडविड्थ चुराती हैं। CORP के बिना, इंटरनेट पर कोई भी वेबसाइट आपके उत्पाद फ़ोटो, लोगो, स्क्रिप्ट और अन्य फ़ाइलें सीधे आपके सर्वर से एम्बेड कर सकती है। CORP सेट करने से बाहरी साइटें आपके संसाधन एम्बेड करने से रुकती हैं।
-
उन्नत ब्राउज़र हमलों के लिए एक शांत डेटा-लीक पथ। COOP और CORP मिलकर Spectre-वर्ग के ब्राउज़र हमलों के लिए उस पथ को बंद कर देते हैं।
-
गलत हेडर से स्व-निर्मित आउटेज। उन्नत COEP, बिना परीक्षण के चालू करने पर आपके एनालिटिक्स, वेब फ़ॉन्ट, एम्बेडेड मैप्स और तृतीय-पक्ष स्क्रिप्ट को रोक सकता है।
-
सावधान खरीदारों को एक मिस्ड सिग्नल। जब किसी संभावित ग्राहक की IT टीम हस्ताक्षर करने से पहले आपके हेडर स्कैन करती है, तो आधुनिक क्रॉस-ऑरिजिन हार्डनिंग मिलना एक छोटा लेकिन वास्तविक “ये लोग सुरक्षा को गंभीरता से लेते हैं” संकेत है।
प्रत्येक वास्तव में क्या है
COOP — Cross-Origin-Opener-Policy (सुरक्षित, अनुशंसित)
जब कोई अन्य वेबसाइट पॉपअप या window.open का उपयोग करके आपकी साइट खोलती है, तो दो विंडो सामान्यतः एक-दूसरे का संदर्भ रख सकती हैं। COOP: same-origin उस संबंध को तोड़ता है। सामान्य ब्राउज़िंग, आपके अपने आंतरिक लिंक, और साधारण नेविगेशन पूरी तरह अप्रभावित हैं।
अच्छा कैसा दिखता है: Cross-Origin-Opener-Policy: same-origin.
CORP — Cross-Origin-Resource-Policy (सुरक्षित, अनुशंसित)
डिफ़ॉल्ट रूप से, आपकी छवियां, स्क्रिप्ट और अन्य फ़ाइलें कहीं भी किसी भी साइट द्वारा एम्बेड की जा सकती हैं। CORP: same-origin ब्राउज़रों को आपके संसाधनों की क्रॉस-ऑरिजिन एम्बेडिंग अस्वीकार करने के लिए कहता है।
अच्छा कैसा दिखता है: Cross-Origin-Resource-Policy: same-origin.
COEP — Cross-Origin-Embedder-Policy (उन्नत, आमतौर पर बंद छोड़ें)
COEP “क्रॉस-ऑरिजिन आइसोलेशन” पूरा करता है। लेकिन क्योंकि यह मांग करता है कि आप जो कुछ भी लोड करते हैं वह स्पष्ट रूप से ऑप्ट-इन करे, यह आसानी से तृतीय-पक्ष टूल तोड़ता है। अधिकांश वेबसाइटों को इसकी जरूरत नहीं है।
अच्छा कैसा दिखता है: इसे जरूरत हो उस दुर्लभ साइट के लिए, Cross-Origin-Embedder-Policy: credentialless। बाकी सभी के लिए, अनुपस्थित ठीक है।
इसे कैसे ठीक करें (मुफ्त, ~15 मिनट)
इसे अपने IT व्यक्ति या वेब डेवलपर को सौंपें — सुधार मुफ्त है। केवल निर्देश: दो सुरक्षित वाले करें, और बिना परीक्षण के COEP सक्षम न करें।
दो सुरक्षित हेडर (सभी के लिए अनुशंसित)
Cloudflare — Rules → Transform Rules → Modify Response Headers → सेट करें:
Cross-Origin-Opener-Policy=same-originCross-Origin-Resource-Policy=same-origin
Nginx:
add_header Cross-Origin-Opener-Policy "same-origin" always;
add_header Cross-Origin-Resource-Policy "same-origin" always;
Apache:
Header always set Cross-Origin-Opener-Policy "same-origin"
Header always set Cross-Origin-Resource-Policy "same-origin"
ये जोड़ने के लिए सुरक्षित हैं और सामान्य कार्यक्षमता नहीं तोड़ेंगे।
उन्नत हेडर (केवल तभी यदि आपको विशेष रूप से इसकी आवश्यकता हो)
पहले staging में परीक्षण किए बिना इसे चालू न करें।
add_header Cross-Origin-Embedder-Policy "credentialless" always;
require-corp के बजाय credentialless उपयोग करें — यह बाहरी संसाधनों को तोड़ने की संभावना कम है।
ग्रेड पर एक नोट
पूरी तरह स्पष्ट रूप से: इनमें से तीन में से कोई भी जाँच आपका ग्रेड प्रभावित नहीं करती। वे शून्य अंकों के साथ सूचनात्मक के रूप में पंजीकृत हैं। यदि आप दो सुरक्षित वाले जोड़ते हैं, तो आपने मुफ्त में कुछ वास्तविक (यदि विशिष्ट) अंतराल बंद कर दिए हैं।
अक्सर पूछे जाने वाले प्रश्न
ये मेरा ग्रेड प्रभावित नहीं करते — क्या मुझे बिल्कुल भी परेशान होना चाहिए?
दो के लिए, हाँ; एक के लिए, शायद नहीं। COOP और CORP मुफ्त हैं, मिनट लेते हैं, और आपकी साइट नहीं तोड़ेंगे — वे वास्तविक (यदि विशिष्ट) हमले पथ बंद करते हैं, इसलिए सस्ते स्वच्छता के रूप में करने योग्य हैं। COEP उन्नत है और तृतीय-पक्ष टूल तोड़ सकता है, इसलिए अधिकांश व्यवसायों को इसे बंद रखना चाहिए जब तक वे विशेष रूप से इसके द्वारा अनलॉक किए गए ब्राउज़र सुविधाओं की आवश्यकता न हो।
मैं तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जो मुझे एक्शन लेना है?
व्यक्तिगत रूप से नहीं, और तत्काल नहीं। क्योंकि ये सूचनात्मक हैं, यदि आप इन्हें छोड़ते हैं तो आपके ग्रेड के साथ कुछ बुरा नहीं होता। यदि आप दो सुरक्षित वाले जोड़ना चाहते हैं, तो नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या CDN प्रबंधित करता है उसे सौंपें।
इन हेडरों और उन हेडरों के बीच क्या अंतर है जो मेरा ग्रेड प्रभावित करते हैं?
स्कोर किए गए वेब-सुरक्षा हेडर — HTTPS रीडायरेक्ट, HSTS, Content-Security-Policy, क्लिकजैकिंग सुरक्षा (X-Frame-Options), और MIME-स्निफिंग सुरक्षा — सामान्य, व्यापक रूप से शोषित हमलों के खिलाफ बचाव करते हैं। इस पेज पर तीन (COOP, CORP, COEP) नए, अधिक विशेष ब्राउज़र-आइसोलेशन नियंत्रण हैं। स्कोर किए गए वाले पहले करें; ये ऊपर पॉलिश हैं।
क्या COOP या CORP जोड़ने से मेरी वेबसाइट या मेरे साझेदारों के एकीकरण टूट जाएंगे?
अनुशंसित सेटिंग (दोनों 'same-origin') सुरक्षित डिज़ाइन की गई हैं। COOP केवल उन विंडो के लिए लिंक को काटता है जो आपकी साइट पॉपअप में खोलती है — सामान्य ब्राउज़िंग, आपके अपने पृष्ठ, और साधारण लिंक अप्रभावित हैं। CORP केवल अन्य साइटों को आपकी छवियों और स्क्रिप्ट एम्बेड करने से रोकता है। वह जो वास्तव में ब्रेकेज का जोखिम रखता है वह COEP है — उसे परीक्षण के बिना न चालू करें।
'हॉटलिंकिंग' वास्तव में मुझे कितना खर्च करती है?
जब कोई अन्य साइट आपकी छवि या स्क्रिप्ट को सीधे आपके सर्वर से एम्बेड करती है, तो उनकी साइट का हर विज़िटर इसे आप से डाउनलोड करता है — आपके बैंडविड्थ बिल पर, और आपकी संपत्ति एक ऐसे संदर्भ में दिखाई देती है जिसे आपने मंजूरी नहीं दी। CORP ('same-origin') इसे ब्राउज़र स्तर पर रोकता है।
इनमें से प्रत्येक के लिए 'अच्छा' कैसा दिखता है?
COOP: एक Cross-Origin-Opener-Policy हेडर 'same-origin' पर सेट। CORP: एक Cross-Origin-Resource-Policy हेडर 'same-origin' पर सेट। COEP: एक Cross-Origin-Embedder-Policy हेडर — और यदि आप इसे बिल्कुल सेट करते हैं, तो 'credentialless' 'require-corp' से सुरक्षित मान है। COOP और CORP उपस्थित होने का लक्ष्य रखें; COEP अनुपस्थित रखें जब तक आपने इसका परीक्षण न किया हो।