সিকিউরিটি হেডার চেকার

একটি URL-এ অনুপস্থিত বা ঝুঁকিপূর্ণ সিকিউরিটি হেডার (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP) পরীক্ষা করুন এবং কুকি ফ্ল্যাগ (Secure, HttpOnly, SameSite) বিশ্লেষণ করুন। চূড়ান্ত গন্তব্যে রিডাইরেক্ট অনুসরণ করুন, JSON/PDF রিপোর্ট এক্সপোর্ট করুন এবং কার্যকরী হার্ডেনিং সুপারিশ পান।

Loading…

সম্পর্কে সিকিউরিটি হেডার চেকার

আধুনিক ওয়েব সিকিউরিটি মূলত HTTP রেসপন্স হেডার দ্বারা প্রয়োগ করা হয়। এই টুল একটি URL ফেচ করে (ঐচ্ছিকভাবে রিডাইরেক্ট অনুসরণ করে) এবং মূল হার্ডেনিং হেডারগুলি অডিট করে যা XSS, ক্লিকজ্যাকিং, MIME স্নিফিং, অনিরাপদ ট্রান্সপোর্ট এবং ক্রস-অরিজিন আইসোলেশন সমস্যা হ্রাস করে। এটি Set-Cookie অ্যাট্রিবিউটগুলিও পর্যালোচনা করে যাতে সাধারণ ফাঁক যেমন Secure/HttpOnly/SameSite অনুপস্থিত, বা Secure ছাড়া SameSite=None ধরতে পারে।

বৈশিষ্ট্য

  • চূড়ান্ত HTTPS গন্তব্য অডিট করতে রিডাইরেক্ট অনুসরণ করুন (বাস্তব-বিশ্বের ডেপ্লয়মেন্টের জন্য সুপারিশকৃত)।
  • প্রয়োজনীয় হার্ডেনিং হেডার পরীক্ষা করে: Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy।
  • সুপারিশকৃত আধুনিক হেডার পরীক্ষা করে: COOP, COEP, CORP, Origin-Agent-Cluster, এবং অতিরিক্ত হার্ডেনিং সংকেত যখন উপস্থিত থাকে।
  • Set-Cookie ফ্ল্যাগের জন্য কুকি বিশ্লেষণ: Secure, HttpOnly, SameSite; Secure ছাড়া SameSite=None সম্পর্কে সতর্ক করে।
  • CSP বিশ্লেষণ: unsafe-inline, unsafe-eval, ওয়াইল্ডকার্ড সোর্স, প্রতিরক্ষামূলক নির্দেশাবলীর অভাব (default-src, object-src, base-uri, frame-ancestors), এবং report-only সতর্কতা হাইলাইট করে।
  • অপ্রচলিত বা ঝুঁকিপূর্ণ হেডার (যেমন, X-XSS-Protection) এবং তথ্য ফাঁস হেডার (যেমন, Server, X-Powered-By) চিহ্নিত করে।
  • সিকিউরিটি রিভিউ, পেন্টেস্ট রিপোর্ট বা বাগ টিকিটের জন্য কপি/শেয়ারযোগ্য ফলাফল।
  • অডিট, কমপ্লায়েন্স প্রমাণ এবং রিগ্রেশন ট্র্যাকিংয়ের জন্য JSON বা PDF হিসাবে রিপোর্ট ডাউনলোড করুন।

🧭 কিভাবে ব্যবহার করবেন for security-headers-checker

1

আপনি যে URL অডিট করতে চান তা পেস্ট করুন

সম্পূর্ণ URL লিখুন (পছন্দসই https://…)। টুলটি সেই এন্ডপয়েন্ট দ্বারা ফেরত দেওয়া রেসপন্স হেডার মূল্যায়ন করে।

2

“রিডাইরেক্ট অনুসরণ করুন” সক্ষম করুন (সুপারিশকৃত)

অনেক সাইট http→https এবং non-www→www (বা উল্টো) রিডাইরেক্ট করে। রিডাইরেক্ট অনুসরণ করা ব্যবহারকারী এবং বটগুলি আসলে যে চূড়ান্ত গন্তব্যে পৌঁছায় তা অডিট করে।

3

কাঁচা হেডার দেখানো হবে কিনা তা চয়ন করুন

“কাঁচা হেডার দেখান” সক্ষম করুন যদি আপনি ডিবাগিংয়ের জন্য মূল হেডার লাইন চান (CDN, রিভার্স প্রক্সি এবং ফ্রেমওয়ার্ক ডিফল্টের জন্য দুর্দান্ত)।

4

ফলাফল পর্যালোচনা করুন এবং ফিক্সগুলিকে অগ্রাধিকার দিন

প্রথমে ট্রান্সপোর্ট সিকিউরিটি (HSTS), anti-XSS (CSP), ক্লিকজ্যাকিং (ফ্রেম সুরক্ষা), কুকি ফ্ল্যাগ এবং ক্রস-অরিজিন আইসোলেশন (COOP/COEP/CORP) এর দিকে মনোযোগ দিন যেখানে প্রযোজ্য।

5

ট্র্যাকিংয়ের জন্য একটি রিপোর্ট এক্সপোর্ট করুন

JSON/PDF ডাউনলোড করুন টিকিটে সংযুক্ত করতে, সময়ের সাথে পরিবর্তন তুলনা করতে বা রিগ্রেশনের জন্য CI-এ চেক যোগ করতে।

প্রযুক্তিগত বিবরণ

এই টুলটি কী পরীক্ষা করে

চেকারটি ব্রাউজার-প্রয়োগকৃত সিকিউরিটি নিয়ন্ত্রণের জন্য ব্যবহৃত আধুনিক, উচ্চ-প্রভাব রেসপন্স হেডার এবং কুকি অ্যাট্রিবিউটের উপর ফোকাস করে।

এলাকাপরীক্ষিত সংকেতএটি কেন গুরুত্বপূর্ণ
পরিবহন নিরাপত্তাস্ট্রিক্ট-ট্রান্সপোর্ট-সিকিউরিটি (এইচটিটিপিএস)এইচটিটিপিএস বাধ্যতামূলক করে এবং পরবর্তী ভিজিটে এসএসএল স্ট্রিপিং প্রতিরোধে সহায়তা করে।
এক্সএসএস প্রশমনকন্টেন্ট-সিকিউরিটি-পলিসি (সিএসপি) + সাধারণ ভুলগুলোস্ক্রিপ্ট/স্টাইল উৎস সীমাবদ্ধ করে এবং সঠিকভাবে কনফিগার করা হলে এক্সএসএস প্রভাব হ্রাস করে।
ক্লিকজ্যাকিংএক্স-ফ্রেম-অপশন এবং/অথবা সিএসপি ফ্রেম-এনসেস্টরঅন্যান্য উৎস দ্বারা আপনার পৃষ্ঠাগুলো ফ্রেম করা থেকে প্রতিরোধ করে।
মাইম স্নিফিংএক্স-কন্টেন্ট-টাইপ-অপশন: নোস্নিফব্রাউজারগুলিকে ঝুঁকিপূর্ণ উপায়ে কন্টেন্ট টাইপ অনুমান করা থেকে বিরত রাখে।
রেফারার ফাঁসরেফারার-পলিসিঅন্যান্য সাইটে কতটা রেফারার তথ্য পাঠানো হয় তা নিয়ন্ত্রণ করে।
অনুমতি নিয়ন্ত্রণপারমিশন-পলিসিব্রাউজার পর্যায়ে শক্তিশালী বৈশিষ্ট্যগুলো (ক্যামেরা, মাইক, জিওলোকেশন ইত্যাদি) সীমাবদ্ধ করে।
ক্রস-অরিজিন বিচ্ছিন্নতাসিওওপি / সিওইপি / সিওআরপি (এবং সম্পর্কিত)উন্নত নিরাপত্তা বিচ্ছিন্নতা এবং কিছু উচ্চ-কার্যক্ষমতা এপিআই-এর জন্য প্রয়োজন।
কুকিজসেট-কুকি ফ্ল্যাগ: সিকিউর, এইচটিটিপি-অনলি, সেইমসাইটসেশন চুরির ঝুঁকি হ্রাস করে এবং সঠিকভাবে কনফিগার করা হলে সিএসআরএফ প্রশমিত করে।
ঝুঁকিপূর্ণ/অপ্রচলিতএক্স-এক্সএসএস-প্রোটেকশন, সার্ভার, এক্স-পাওয়ার্ড-বাই (যখন উপস্থিত থাকে)অপ্রচলিত নিয়ন্ত্রণ বা তথ্য ফাঁস যা আক্রমণকারীদের সহায়তা করতে পারে।

অনুরোধ আচরণ এবং সীমাবদ্ধতা

অডিট সার্ভার-সাইডে চলে এবং বাস্তব নেভিগেশন আচরণ মেলাতে রিডাইরেক্ট অনুসরণ করতে পারে।

সেটিংআচরণডিফল্ট
রিডাইরেক্ট অনুসরণ করুনএকটি নির্দিষ্ট সংখ্যক রিডাইরেক্ট পর্যন্ত অনুসরণ করেসক্রিয়
সর্বোচ্চ রিডাইরেক্টঅনুসরণ সক্রিয় থাকলে সর্বোচ্চ রিডাইরেক্ট সংখ্যা১০
টাইমআউটঅনুরোধের সময়সীমা শেষ১৫০০০ মিলিসেকেন্ড
ইউজার-এজেন্টঅনুরোধ শনাক্তকরণ হেডারEncode64Bot/1.0 (+[https://encode64.com](https://encode64.com))
ব্যক্তিগত নেটওয়ার্কব্যক্তিগত-নেটওয়ার্ক লক্ষ্য ব্লক করেঅনুমোদিত নয়

ফলাফল সঠিকভাবে ব্যাখ্যা করা

একটি 'পাসিং' হেডার স্ক্যান 'সুরক্ষিত' এর সমতুল্য নয়। হেডারগুলি একটি স্তর মাত্র। লক্ষ্য হল সাধারণ শ্রেণীর সমস্যার প্রভাব পরিধি হ্রাস করা এবং নিরাপদ ব্রাউজার ডিফল্ট প্রয়োগ করা।

এই রিপোর্টটি একটি বেসলাইন হার্ডেনিং চেকলিস্ট হিসাবে ব্যবহার করুন। এখনও প্রমাণীকরণ, অনুমোদন, ইনপুট বৈধতা, নির্ভরতা দুর্বলতা এবং সার্ভার কনফিগারেশন নিরীক্ষণ করুন।

কমান্ড লাইন

ডিবাগিং বা সিআই চলাকালীন দ্রুত হেডার যাচাই করতে এবং চেকার যা করে তা প্রতিলিপি করতে curl ব্যবহার করুন।

macOS / Linux

প্রতিক্রিয়া হেডার আনুন

curl -I [https://example.com](https://example.com)

এন্ডপয়েন্ট দ্বারা ফেরত পাঠানো শীর্ষ-স্তরের হেডারগুলি দেখায়।

রিডাইরেক্ট অনুসরণ করুন এবং হেডার দেখান

curl -IL [https://example.com](https://example.com)

রিডাইরেক্টের পর চূড়ান্ত গন্তব্য হেডার নিশ্চিত করতে কার্যকর।

Set-Cookie লাইন পরিদর্শন করুন

curl -sI [https://example.com](https://example.com) | grep -i '^set-cookie:'

Secure/HttpOnly/SameSite বৈশিষ্ট্য যাচাই করতে সহায়তা করে।

Windows (PowerShell)

প্রতিক্রিয়া হেডার আনুন

(Invoke-WebRequest -Uri [https://example.com](https://example.com) -Method Head).Headers

PowerShell-এ ফেরত পাঠানো হেডারগুলি মুদ্রণ করে।

সর্বদা আপনার HTML পৃষ্ঠাগুলি এবং সমালোচনামূলক API এন্ডপয়েন্ট উভয়ই পরীক্ষা করুন: তাদের প্রায়শই ভিন্ন মিডলওয়্যার স্ট্যাক থাকে এবং তাই ভিন্ন হেডার সেট থাকে।

ব্যবহারের ক্ষেত্র

একটি ওয়েব অ্যাপের জন্য নিরাপত্তা হার্ডেনিং বেসলাইন

একটি ন্যূনতম হেডার বেসলাইন স্থাপন করুন এবং ডেপ্লয়মেন্ট, প্রক্সি/সিডিএন পরিবর্তন, বা ফ্রেমওয়ার্ক আপগ্রেডের পরে অনুপস্থিত হেডারগুলি সনাক্ত করুন।

  • প্রোডাকশন HTTPS-এ HSTS উপস্থিত আছে কিনা যাচাই করুন
  • প্রমাণীকৃত পৃষ্ঠাগুলির জন্য ক্লিকজ্যাকিং সুরক্ষা সক্রিয় আছে কিনা নিশ্চিত করুন

কুকি এবং সেশন নিরাপত্তা পর্যালোচনা

যাচাই করুন যে সেশন কুকিগুলি Secure/HttpOnly/SameSite সহ প্রেরণ করা হয়েছে এবং সাধারণ ভুল কনফিগারেশন সনাক্ত করুন।

  • Secure ছাড়া SameSite=None ধরুন
  • সেশন টোকেনে HttpOnly সেট আছে কিনা নিশ্চিত করুন

CSP গুণমান এবং XSS ঝুঁকি হ্রাস

উচ্চ-ঝুঁকিপূর্ণ CSP প্যাটার্ন চিহ্নিত করুন এবং XSS প্রভাব উল্লেখযোগ্যভাবে হ্রাস করে এমন সমাধানগুলিকে অগ্রাধিকার দিন।

  • unsafe-inline সরান এবং nonce/hash কৌশল গ্রহণ করুন
  • শক্তিশালী ডিফল্টের জন্য frame-ancestors এবং base-uri যোগ করুন

CDN / রিভার্স প্রক্সি রিগ্রেশন চেক

যখন কোনো CDN, লোড ব্যালেন্সার বা প্রক্সি হেডার সরায় বা ডুপ্লিকেট করে তখন সনাক্ত করুন।

  • নিশ্চিত করুন যে নিরাপত্তা হেডারগুলি Cloudflare/Varnish/Nginx পরিবর্তন থেকে অক্ষত থাকে
  • নিশ্চিত করুন যে রিডাইরেক্টগুলি চূড়ান্ত গন্তব্যে HSTS বাদ দেয় না

❓ Frequently Asked Questions

নিরাপত্তা হেডারগুলি কেন গুরুত্বপূর্ণ?

এগুলি ব্রাউজার-সাইড নিরাপত্তা নিয়ন্ত্রণ প্রয়োগ করে যা XSS, ক্লিকজ্যাকিং এবং মিক্সড-কন্টেন্ট বা ডাউনগ্রেড সমস্যার মতো সাধারণ ওয়েব আক্রমণের প্রভাব হ্রাস করে। এগুলি কুকিজ এবং ক্রস-অরিজিন আচরণের জন্য নিরাপদ ডিফল্টও নির্ধারণ করে।

আমাকে কি “ফলো রিডাইরেক্টস” সক্ষম করা উচিত?

সাধারণত হ্যাঁ। আসল ব্যবহারকারী এবং ক্রলাররা রিডাইরেক্টের পরে চূড়ান্ত URL-এ পৌঁছায় এবং সেখানেই কার্যকর হেডারগুলি গুরুত্বপূর্ণ। রিডাইরেক্ট চেইন চূড়ান্ত গন্তব্যে অনুপস্থিত হেডারগুলি লুকিয়ে রাখতে পারে।

প্রতিটি সাইটের জন্য কি CSP প্রয়োজন?

ব্যবহারকারী সেশন বা গতিশীল কন্টেন্ট আছে এমন সাইটগুলির জন্য এটি অত্যন্ত সুপারিশকৃত। এমনকি একটি মৌলিক CSP-ও XSS ঝুঁকি কমাতে পারে, তবে স্ক্রিপ্ট এবং তৃতীয় পক্ষের ইন্টিগ্রেশন ভঙ্গ না করার জন্য CSP সাবধানে পরীক্ষা করা উচিত।

X-XSS-Protection কেন অবচিত বা ঝুঁকিপূর্ণ হিসাবে চিহ্নিত করা হয়?

এটি আধুনিক ব্রাউজারগুলিতে অপ্রচলিত এবং কিছু ঐতিহাসিক ক্ষেত্রে অপ্রত্যাশিত আচরণের সৃষ্টি করতে পারে। পরিবর্তে CSP এবং নিরাপদ কোডিং অনুশীলনের উপর ফোকাস করুন।

একটি সাধারণ HSTS ভুল কি?

HTTPS-এ HSTS সক্ষম করা কিন্তু ধারাবাহিকভাবে HTTPS পরিবেশন করতে ভুলে যাওয়া (বা ক্যানোনিকাল হোস্টে এটি অনুপস্থিত)। আরেকটি সাধারণ ভুল হল প্রিলোড প্রয়োজনীয়তা পুরোপুরি পূরণ না করেই প্রিলোড নির্দেশিকা যোগ করা।

শুধুমাত্র হেডারগুলি কি আমার অ্যাপ্লিকেশন সুরক্ষিত করতে পারে?

না। হেডারগুলি একটি শক্তিশালীকরণ স্তর। আপনার এখনও নিরাপদ কোডিং, নির্ভরতা ব্যবস্থাপনা, প্রমাণীকরণ/অনুমোদনের সঠিকতা এবং শক্তিশালী সার্ভার কনফিগারেশন প্রয়োজন।

Pro Tips

Best Practice

ল্যান্ডিং HTML এবং আপনার API এন্ডপয়েন্ট উভয়ই অডিট করুন। এগুলির প্রায়ই ভিন্ন মিডলওয়্যার থাকে এবং হেডার কভারেজে নিঃশব্দে ভিন্ন হতে পারে।

CI Tip

একটি রিডাইরেক্ট-চেইন চেক চালান: নিশ্চিত করুন যে চূড়ান্ত গন্তব্য শক্তিশালী হেডার সেট করে (বিশেষ করে HSTS এবং CSP)।

Best Practice

কুকিজকে আপনার নিরাপত্তা পরিধির অংশ হিসেবে বিবেচনা করুন: সুরক্ষিত + HttpOnly + উপযুক্ত SameSite আপনার সেশন কুকিজের জন্য ডিফল্ট হওয়া উচিত।

Best Practice

CSP-এর জন্য, unsafe-inline/unsafe-eval অপসারণ এবং nonces বা hashes গ্রহণকে অগ্রাধিকার দিন। এটি সাধারণত বাস্তব-বিশ্বের সবচেয়ে বড় নিরাপত্তা লাভ।

Best Practice

সার্ভার বিবরণ ফাঁস করা এড়িয়ে চলুন। সম্ভব হলে সার্ভার / X-Powered-By অপসারণ বা হ্রাস করুন যাতে ফিঙ্গারপ্রিন্টিং কমে।

CI Tip

CI-তে একটি রিগ্রেশন টেস্ট যোগ করুন যা ডিপ্লয়মেন্ট ব্যর্থ করে যদি গুরুত্বপূর্ণ হেডারগুলি অদৃশ্য হয় (প্রক্সি/CDN পরিবর্তনগুলি লোকেরা যতটা মনে করে তার চেয়ে বেশি প্রায়ই এটি ঘটায়)।

Additional Resources

OWASP সিকিউর হেডার্স প্রকল্প
Documentation
MDN: কন্টেন্ট সিকিউরিটি পলিসি (CSP)
Documentation
MDN: স্ট্রিক্ট-ট্রান্সপোর্ট-সিকিউরিটি (HSTS)
Documentation
MDN: সেট-কুকি
Documentation
MDN: পারমিশনস-পলিসি
Documentation

Other Tools

সিকিউরিটি হেডার চেকার — CSP, HSTS, কুকিজ এবং হার্ডেনিং হেডার অডিট করুন | Encode64