| ZXCVFIXVIBESEG3 |
ସୁରକ୍ଷା ଶୀର୍ଷକମାନଙ୍କର ଭୂମିକା |
| ZXCVFIXVIBESEG4 | [S1] [S2] ଅଧିବେଶନରେ ବ୍ରାଉଜରକୁ ନିର୍ଦ୍ଦିଷ୍ଟ ସୁରକ୍ଷା ନୀତି କାର୍ଯ୍ୟକାରୀ କରିବାକୁ ବ୍ରାଉଜର୍ମାନଙ୍କୁ ନିର୍ଦ୍ଦେଶ ଦେବା ପାଇଁ HTTP ସୁରକ୍ଷା ହେଡର୍ ୱେବ୍ ପ୍ରୟୋଗଗୁଡ଼ିକ ପାଇଁ ଏକ ମାନକ ପ୍ରଣାଳୀ ପ୍ରଦାନ କରିଥାଏ | ଏହି ହେଡର୍ ଗୁଡିକ ପ୍ରତିରକ୍ଷା-ଗଭୀରତାର ଏକ ଗୁରୁତ୍ layer ପୂର୍ଣ୍ଣ ସ୍ତର ଭାବରେ କାର୍ଯ୍ୟ କରନ୍ତି, ବିପଦକୁ ହ୍ରାସ କରନ୍ତି ଯାହା କେବଳ ପ୍ରୟୋଗ ତର୍କ ଦ୍ୱାରା ସମ୍ପୂର୍ଣ୍ଣ ଭାବରେ ସମାଧାନ ହୋଇପାରିବ ନାହିଁ |
| ZXCVFIXVIBESEG5 |
ବିଷୟବସ୍ତୁ ସୁରକ୍ଷା ନୀତି (CSP)
| ZXCVFIXVIBESEG6 | ବିଷୟବସ୍ତୁ ସୁରକ୍ଷା ନୀତି (CSP) ହେଉଛି ଏକ ସୁରକ୍ଷା ସ୍ତର ଯାହାକି କ୍ରସ୍ ସାଇଟ୍ ସ୍କ୍ରିପ୍ଟିଂ (XSS) ଏବଂ ଡାଟା ଇଞ୍ଜେକ୍ସନ୍ ଆକ୍ରମଣ [S1] ସହିତ କେତେକ ପ୍ରକାରର ଆକ୍ରମଣକୁ ଚିହ୍ନଟ ଏବଂ ହ୍ରାସ କରିବାରେ ସାହାଯ୍ୟ କରେ | କେଉଁ ଗତିଶୀଳ ଉତ୍ସଗୁଡ଼ିକୁ ଧାରଣ କରିବାକୁ ଅନୁମତି ଦିଆଯାଇଛି ତାହା ନିର୍ଦ୍ଦିଷ୍ଟ କରୁଥିବା ଏକ ନୀତି ନିର୍ଦ୍ଦିଷ୍ଟ କରି, CSP ଏକ ଆକ୍ରମଣକାରୀ [S1] ଦ୍ୱାରା ଇଞ୍ଜେକ୍ସନ ଦିଆଯାଇଥିବା ମନ୍ଦ ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକୁ ବ୍ରାଉଜରକୁ ପ୍ରତିରୋଧ କରିଥାଏ | ଏହା ଅନୁପ୍ରୟୋଗରେ ଏକ ଇଞ୍ଜେକ୍ସନ୍ ଦୁର୍ବଳତା ଥିଲେ ବି ଅନଧିକୃତ ସଂକେତର କାର୍ଯ୍ୟକାରିତାକୁ ପ୍ରଭାବଶାଳୀ ଭାବରେ ପ୍ରତିବନ୍ଧିତ କରେ |
| ZXCVFIXVIBESEG7 |
HTTP କଠୋର ପରିବହନ ସୁରକ୍ଷା (HSTS)
| ZXCVFIXVIBESEG8 | HTTP କଠୋର ପରିବହନ ସୁରକ୍ଷା (HSTS) ହେଉଛି ଏକ ଯନ୍ତ୍ର ଯାହା ବ୍ରାଉଜରକୁ ସୂଚନା ଦେବା ପାଇଁ ଏକ ୱେବସାଇଟ୍ କୁ ଅନୁମତି ଦେଇଥାଏ ଯେ ଏହା କେବଳ HTTP [S2] ପରିବର୍ତ୍ତେ HTTPS ବ୍ୟବହାର କରି ପ୍ରବେଶ କରିବା ଉଚିତ | ଏହା ଗ୍ରାହକ ଏବଂ ସର୍ଭର ମଧ୍ୟରେ ଥିବା ସମସ୍ତ ଯୋଗାଯୋଗ [S2] ଏନକ୍ରିପ୍ଟ ହୋଇଥିବା ସୁନିଶ୍ଚିତ କରି ପ୍ରୋଟୋକଲ୍ ଡାଉନଗ୍ରେଡ୍ ଆକ୍ରମଣ ଏବଂ କୁକି ଅପହରଣରୁ ରକ୍ଷା କରିଥାଏ | ଥରେ ଏକ ବ୍ରାଉଜର୍ ଏହି ହେଡର୍ ଗ୍ରହଣ କଲା ପରେ, ଏହା ସ୍ୱୟଂଚାଳିତ ଭାବରେ HTTP ମାଧ୍ୟମରେ ସାଇଟକୁ ପ୍ରବେଶ କରିବାକୁ ସମସ୍ତ ପରବର୍ତ୍ତୀ ପ୍ରୟାସକୁ HTTPS ଅନୁରୋଧରେ ରୂପାନ୍ତର କରିବ |
| ZXCVFIXVIBESEG9 |
ନିଖୋଜ ହେଡର୍ ଗୁଡିକର ସୁରକ୍ଷା ପ୍ରଭାବ |
| ZXCVFIXVIBESEG10 ପ୍ରୟୋଗଗୁଡ଼ିକ ଯାହା ଏହି ହେଡର୍ଗୁଡ଼ିକୁ କାର୍ଯ୍ୟକାରୀ କରିବାରେ ବିଫଳ ହୁଏ, କ୍ଲାଏଣ୍ଟ-ସାଇଡ୍ ଆପୋଷ ବୁ significantly ାମଣାର ଯଥେଷ୍ଟ ଅଧିକ ବିପଦ ଥାଏ | ଏକ ବିଷୟବସ୍ତୁ ସୁରକ୍ଷା ନୀତିର ଅନୁପସ୍ଥିତି ଅନଧିକୃତ ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକର କାର୍ଯ୍ୟକାରିତା ପାଇଁ ଅନୁମତି ଦେଇଥାଏ, ଯାହାକି ଅଧିବେଶନ ଅପହରଣ, ଅନଧିକୃତ ଡାଟା ବହିଷ୍କାର କିମ୍ବା [S1] କୁ ବଦଳାଇପାରେ | ସେହିପରି ଭାବରେ, ଏକ HSTS ହେଡର୍ ର ଅଭାବ ବ୍ୟବହାରକାରୀଙ୍କୁ ମ୍ୟାନ୍-ଇନ୍-ମିଡିଲ୍ (MITM) ଆକ୍ରମଣରେ ସଂକ୍ରମିତ କରିଥାଏ, ବିଶେଷତ the ପ୍ରାରମ୍ଭିକ ସଂଯୋଗ ପର୍ଯ୍ୟାୟରେ, ଯେଉଁଠାରେ ଜଣେ ଆକ୍ରମଣକାରୀ ଟ୍ରାଫିକ୍କୁ ଅଟକାଇ ବ୍ୟବହାରକାରୀଙ୍କୁ ZXCVFIXVIBETOKEN1Z ସାଇଟର ଏକ ଦୁଷ୍ଟ କିମ୍ବା ଅସଂଗୁପ୍ତ ସଂସ୍କରଣକୁ ପୁନ ir ନିର୍ଦ୍ଦେଶ କରିପାରନ୍ତି |
| ZXCVFIXVIBESEG11
ଏହା ପାଇଁ FixVibe କିପରି ପରୀକ୍ଷା କରେ |
| ZXCVFIXVIBESEG12 FixVibe ଏହାକୁ ଏକ ପାସିଭ୍ ସ୍କାନ୍ ଯାଞ୍ଚ ଭାବରେ ଅନ୍ତର୍ଭୁକ୍ତ କରିସାରିଛି | headers.security-headers ସର୍ବସାଧାରଣ HTTP ପ୍ରତିକ୍ରିୟା ମେଟାଡାଟାକୁ Content-Security-Policy, Strict-Transport-Security, X-Frame-Options କିମ୍ବା ZXCVFIXVIBET X-Content-Type-Options, Referrer-Policy, ଏବଂ Permissions-Policy | ଏହା ଅନୁସନ୍ଧାନ ବିନା ନିଖୋଜ କିମ୍ବା ଦୁର୍ବଳ ମୂଲ୍ୟଗୁଡିକ ରିପୋର୍ଟ କରେ, ଏବଂ ଏହାର ଫିକ୍ସ ପ୍ରମ୍ପ୍ଟ ସାଧାରଣ ଆପ୍ ଏବଂ CDN ସେଟଅପ୍ ପାଇଁ ନିୟୋଜନ-ପ୍ରସ୍ତୁତ ହେଡର୍ ଉଦାହରଣ ଦେଇଥାଏ |
| ZXCVFIXVIBESEG13 |
ପ୍ରତିକାର ନିର୍ଦ୍ଦେଶାବଳୀ |
| ZXCVFIXVIBESEG14 ସୁରକ୍ଷା ସ୍ଥିତିକୁ ଉନ୍ନତ କରିବାକୁ, ସମସ୍ତ ଉତ୍ପାଦନ ମାର୍ଗରେ ଏହି ହେଡର୍ଗୁଡ଼ିକୁ ଫେରାଇବା ପାଇଁ ୱେବ୍ ସର୍ଭରଗୁଡ଼ିକୁ ବିନ୍ୟାସ କରାଯିବା ଆବଶ୍ୟକ | ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଶନ୍ ପରିବେଶକୁ ସୀମିତ କରିବା ପାଇଁ script-src ଏବଂ object-src ପରି ନିର୍ଦ୍ଦେଶନାମା ବ୍ୟବହାର କରି ଏକ ଦୃ ust CSP ପ୍ରୟୋଗର ନିର୍ଦ୍ଦିଷ୍ଟ ଉତ୍ସ ଆବଶ୍ୟକତା ଅନୁଯାୟୀ ପ୍ରସ୍ତୁତ ହେବା ଉଚିତ | ପରିବହନ ସୁରକ୍ଷା ପାଇଁ, Strict-Transport-Security ହେଡର୍ ଏକ ଉପଯୁକ୍ତ max-age ନିର୍ଦ୍ଦେଶ ସହିତ ସକ୍ଷମ ହେବା ଉଚିତ ଯାହାକି ଉପଭୋକ୍ତା ଅଧିବେଶନ [S2] |