Toolypet
सुरक्षा उपकरण/सुरक्षा हेडर

सुरक्षा हेडर

अपने वेब सर्वर के लिए HTTP सुरक्षा हेडर जनरेट करें

प्रीसेट

सुरक्षा हेडर

Forces HTTPS connections for secure communication

Prevents clickjacking attacks by controlling iframe embedding

Prevents MIME type sniffing attacks

Legacy XSS filter (deprecated, use CSP instead)

Controls how much referrer information is sent

Controls browser features and APIs

Prevents loading cross-origin resources without permission

Isolates browsing context from cross-origin documents

Protects resources from being loaded by other origins

जनरेट किया गया आउटपुट

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

5 हेडर सक्षम

कार्यान्वयन नोट

इन हेडर को अपने वेब सर्वर कॉन्फ़िगरेशन में जोड़ें। Nginx के लिए, server ब्लॉक में जोड़ें। Apache के लिए, .htaccess या httpd.conf में जोड़ें। प्रोडक्शन में डिप्लॉय करने से पहले अच्छी तरह से टेस्ट करें।

सुरक्षा हेडर गाइड

HTTP सुरक्षा हेडर से अपने वेब एप्लिकेशन को सुरक्षित करना सीखें

सुरक्षा हेडर क्या हैं?

HTTP सुरक्षा हेडर वेब सर्वर द्वारा ब्राउज़र को भेजे गए निर्देश हैं जो सामान्य वेब कमजोरियों से बचाने में मदद करते हैं। वे नियंत्रित करते हैं कि ब्राउज़र आपकी साइट की सामग्री को कैसे संभालते हैं, XSS, क्लिकजैकिंग और डेटा इंजेक्शन हमलों को रोकते हैं।

कैसे उपयोग करें

  1. अपनी सुरक्षा आवश्यकताओं के आधार पर प्रीसेट (बेसिक, अनुशंसित, या सख्त) चुनें
  2. व्यक्तिगत हेडर को चालू/बंद करें और उनके मानों को कस्टमाइज़ करें
  3. अपना आउटपुट फॉर्मेट (Raw, Nginx, या Apache) चुनें
  4. जनरेट किए गए कॉन्फ़िगरेशन को कॉपी करें और अपने वेब सर्वर में जोड़ें

सर्वोत्तम प्रथाएं

अक्सर पूछे जाने वाले प्रश्न

कौन से हेडर सबसे महत्वपूर्ण हैं?

आवश्यक हेडर हैं: HTTPS को बाध्य करने के लिए Strict-Transport-Security (HSTS), MIME स्निफिंग को रोकने के लिए X-Content-Type-Options, और क्लिकजैकिंग को रोकने के लिए X-Frame-Options या CSP frame-ancestors। ये तीन न्यूनतम संगतता समस्याओं के साथ सामान्य हमलों के खिलाफ महत्वपूर्ण सुरक्षा प्रदान करते हैं।

क्या ये हेडर मेरी वेबसाइट को तोड़ देंगे?

HSTS, X-Content-Type-Options, और Referrer-Policy जैसे अधिकांश हेडर सुरक्षित हैं और कार्यक्षमता को नहीं तोड़ेंगे। हालांकि, सख्त COOP/COEP सेटिंग्स क्रॉस-ऑरिजिन संसाधनों को प्रभावित कर सकती हैं। विशेष रूप से यदि आपकी साइट थर्ड-पार्टी स्क्रिप्ट, iframes, या क्रॉस-ऑरिजिन APIs का उपयोग करती है तो हमेशा पहले स्टेजिंग वातावरण में परीक्षण करें।

X-Frame-Options और CSP frame-ancestors में क्या अंतर है?

दोनों क्लिकजैकिंग को रोकते हैं लेकिन CSP frame-ancestors अधिक लचीला और आधुनिक है। X-Frame-Options केवल DENY या SAMEORIGIN का समर्थन करता है, जबकि frame-ancestors विशिष्ट डोमेन की अनुमति देता है। जब दोनों सेट हों तो CSP frame-ancestors को प्राथमिकता मिलती है। यदि आपको विशिष्ट साइटों को अपनी सामग्री एम्बेड करने की अनुमति देनी है तो frame-ancestors का उपयोग करें।

क्या मुझे HSTS preload का उपयोग करना चाहिए?

HSTS preload आपके डोमेन को ब्राउज़र की बिल्ट-इन केवल-HTTPS सूची में जोड़ता है। यह अधिकतम सुरक्षा प्रदान करता है लेकिन वापस लेना कठिन है। preload सक्षम करने से पहले: सुनिश्चित करें कि सभी सबडोमेन HTTPS का समर्थन करते हैं, HTTPS के लिए स्थायी रूप से प्रतिबद्ध हों, और छोटे max-age से शुरू करें। केवल तभी preload निर्देश जोड़ें जब आप निश्चित हों।

COOP, COEP, और CORP हेडर क्या हैं?

ये उन्नत सुरक्षा के लिए आइसोलेशन हेडर हैं। COOP (Cross-Origin-Opener-Policy) आपकी विंडो को क्रॉस-ऑरिजिन पॉपअप से अलग करता है। COEP (Cross-Origin-Embedder-Policy) सुनिश्चित करता है कि सभी संसाधन स्पष्ट रूप से साझा किए जाएं। CORP (Cross-Origin-Resource-Policy) नियंत्रित करता है कि कौन आपके संसाधन लोड कर सकता है। साथ में वे SharedArrayBuffer जैसी शक्तिशाली सुविधाओं को सक्षम करते हैं लेकिन सभी संसाधनों को ऑप्ट-इन करना आवश्यक है।

संबंधित उपकरण

सभी सुरक्षा उपकरण देखें

CSP Builder

Build Content-Security-Policy headers

Password Generator

Generate secure passwords

SHA Hash Generator

Generate SHA hashes