जब ब्राउजरले स्थानीय सर्भरमा अनुरोध गर्दछ, यसले सर्भरलाई थप जानकारी प्रदान गर्न होस्ट र मूल हेडरहरू जस्ता अतिरिक्त हेडरहरू संलग्न गर्दछ। यी हेडरहरूले वेब अनुप्रयोगहरूको सुरक्षा र उचित कार्यलाई सुनिश्चित गर्न महत्त्वपूर्ण भूमिका खेल्छन्। यस जवाफमा, हामी ब्राउजरले यी हेडरहरू कसरी संलग्न गर्छ र स्थानीय HTTP सर्भर सुरक्षाको सन्दर्भमा तिनीहरूको महत्त्वबारे छलफल गर्नेछौं।
होस्ट हेडर HTTP अनुरोधको एक आवश्यक घटक हो र अनुरोध पठाइने लक्ष्य होस्ट निर्दिष्ट गर्न प्रयोग गरिन्छ। स्थानीय सर्भरमा अनुरोध गर्दा, ब्राउजरले होस्टनाम वा सर्भरको आईपी ठेगाना संकेत गर्नको लागि होस्ट हेडर समावेश गर्दछ जुन यसले सञ्चार गर्न चाहन्छ। यसले सर्भरलाई अनुरोधको इच्छित गन्तव्य पहिचान गर्न अनुमति दिन्छ। उदाहरणका लागि, यदि ब्राउजरले IP ठेगाना 192.168.0.1 को साथ स्थानीय सर्भरमा होस्ट गरिएको वेब पृष्ठ पहुँच गर्न चाहन्छ भने, यसले होस्ट हेडरलाई निम्न रूपमा समावेश गर्दछ: "होस्ट: 192.168.0.1"। सर्भरले त्यसपछि उपयुक्त स्रोतमा अनुरोध रुट गर्न यो जानकारी प्रयोग गर्दछ।
मूल हेडर, अर्कोतर्फ, क्रस-ओरिजिन आक्रमणहरू विरुद्ध सुरक्षा गर्न आधुनिक ब्राउजरहरू द्वारा लागू गरिएको सुरक्षा संयन्त्र हो। यसले प्रोटोकल, होस्टनाम, र पोर्ट नम्बर सहित अनुरोध गरिएको मूल निर्दिष्ट गर्दछ। ब्राउजरले स्वचालित रूपमा स्थानीय सर्भरहरूलाई अनुरोधमा मूल हेडर समावेश गर्दछ कि सर्भरले अनुरोधको स्रोत प्रमाणित गर्न सक्छ। उदाहरणका लागि, यदि "http://localhost:8080" मा होस्ट गरिएको वेब पृष्ठले "http://localhost:3000" मा स्थानीय सर्भरलाई अनुरोध गर्छ भने, ब्राउजरले निम्नानुसार मूल हेडर समावेश गर्दछ: "मूल: http ://localhost:8080"। यसले सर्भरलाई अनुरोध अपेक्षित स्रोतबाट आएको हो भनी प्रमाणित गर्न अनुमति दिन्छ र संवेदनशील स्रोतहरूमा अनधिकृत पहुँच रोक्न मद्दत गर्दछ।
होस्ट र मूल हेडरको अतिरिक्त, त्यहाँ अन्य हेडरहरू छन् जुन ब्राउजरहरूले स्थानीय सर्भरहरूलाई अनुरोध गर्दा संलग्न गर्न सक्छन्। उदाहरणका लागि, प्रयोगकर्ता-एजेन्ट हेडरले अनुरोध गर्ने क्लाइन्ट अनुप्रयोग (अर्थात्, ब्राउजर) बारे जानकारी प्रदान गर्दछ। यो हेडरले सर्भरलाई ग्राहकको क्षमता र सीमितताहरू बुझ्न मद्दत गर्दछ, यसलाई उपयुक्त प्रतिक्रियाहरू प्रदान गर्न सक्षम पार्दै।
यो नोट गर्न महत्त्वपूर्ण छ कि ब्राउजरहरूले पूर्वनिर्धारित रूपमा यी हेडरहरू संलग्न गर्दा, तिनीहरू पनि परिमार्जन गर्न वा विभिन्न माध्यमबाट हटाउन सकिन्छ। यो ब्राउजर विस्तारहरू, प्रोक्सी सर्भरहरू, वा प्रोग्रामिङ प्रविधिहरू प्रयोग गरेर सीधा अनुरोध हेरफेर गरेर गर्न सकिन्छ। तसर्थ, सर्भर प्रशासकहरूको लागि यी हेडरहरूको उपस्थितिलाई ध्यान नदिई आगमन अनुरोधहरू प्रमाणित गर्न र सेनिटाइज गर्न उपयुक्त सुरक्षा उपायहरू लागू गर्न महत्त्वपूर्ण छ।
जब ब्राउजरले स्थानीय सर्भरमा अनुरोध गर्दछ, यसले अतिरिक्त हेडरहरू जस्तै होस्ट र मूल हेडरहरू संलग्न गर्दछ। होस्ट हेडरले अनुरोधको लक्षित होस्ट निर्दिष्ट गर्दछ, जबकि उत्पत्ति हेडरले क्रस-ओरिजिन आक्रमणहरूबाट सुरक्षा गर्न मद्दत गर्दछ। यी हेडरहरूले वेब अनुप्रयोगहरूको सुरक्षा र उचित कार्यलाई सुनिश्चित गर्न महत्त्वपूर्ण भूमिका खेल्छन्। सर्भर प्रशासकहरू यी हेडरहरू बारे सचेत हुनुपर्दछ र आगमन अनुरोधहरू प्रमाणित गर्न र सेनिटाइज गर्न उपयुक्त सुरक्षा उपायहरू लागू गर्नुपर्दछ।
अन्य भर्खरका प्रश्न र उत्तरहरू सम्बन्धमा EITC/IS/WASF वेब अनुप्रयोग सुरक्षा आधारभूतहरू:
- फेच मेटाडेटा अनुरोध हेडरहरू के हुन् र तिनीहरू समान उत्पत्ति र क्रस-साइट अनुरोधहरू बीचको भिन्नता कसरी प्रयोग गर्न सकिन्छ?
- कसरी विश्वसनीय प्रकारहरूले वेब अनुप्रयोगहरूको आक्रमण सतहलाई कम गर्छ र सुरक्षा समीक्षाहरूलाई सरल बनाउँछ?
- विश्वसनीय प्रकारहरूमा पूर्वनिर्धारित नीतिको उद्देश्य के हो र यसलाई असुरक्षित स्ट्रिङ असाइनमेन्टहरू पहिचान गर्न कसरी प्रयोग गर्न सकिन्छ?
- विश्वसनीय प्रकार एपीआई प्रयोग गरेर विश्वसनीय प्रकार वस्तु सिर्जना गर्ने प्रक्रिया के हो?
- सामग्री सुरक्षा नीतिमा भरपर्दो प्रकारको निर्देशनले कसरी DOM-आधारित क्रस-साइट स्क्रिप्टिङ (XSS) कमजोरीहरूलाई कम गर्न मद्दत गर्छ?
- विश्वसनीय प्रकारहरू के हुन् र तिनीहरूले वेब अनुप्रयोगहरूमा DOM-आधारित XSS कमजोरीहरूलाई कसरी सम्बोधन गर्छन्?
- सामग्री सुरक्षा नीति (CSP) ले कसरी क्रस-साइट स्क्रिप्टिङ (XSS) कमजोरीहरूलाई कम गर्न मद्दत गर्न सक्छ?
- क्रस-साइट रिक्वेस्ट फोर्जरी (CSRF) के हो र यसलाई आक्रमणकारीहरूले कसरी प्रयोग गर्न सक्छन्?
- कसरी वेब अनुप्रयोगमा XSS जोखिमले प्रयोगकर्ता डेटा सम्झौता गर्छ?
- वेब अनुप्रयोगहरूमा सामान्यतया पाइने कमजोरीहरूको दुई मुख्य वर्गहरू के हुन्?
EITC/IS/WASF Web Applications Security Fundamentals मा थप प्रश्न र उत्तरहरू हेर्नुहोस्