2025, ഓഗസ്റ്റ് 25മലയാളം

ഉള്ളടക്ക സുരക്ഷാ നയം (CSP), ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (CORS) എന്നിവ ഉപയോഗിച്ച് ഫ്രണ്ട്എൻഡ് സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുള്ള ഒരു സമ്പൂർണ്ണ ഗൈഡ്. നിങ്ങളുടെ വെബ് ആപ്ലിക്കേഷനുകളെ ആധുനിക ഭീഷണികളിൽ നിന്ന് സംരക്ഷിക്കുക.

ഫ്രണ്ട്എൻഡ് സുരക്ഷാ കവചം: ഉള്ളടക്ക സുരക്ഷാ നയവും (CSP) കോർസും (CORS)

ഇന്നത്തെ പരസ്പരം ബന്ധപ്പെട്ടിരിക്കുന്ന ഡിജിറ്റൽ ലോകത്ത്, ഫ്രണ്ട്എൻഡ് സുരക്ഷ വളരെ പ്രധാനമാണ്. വെബ് ആപ്ലിക്കേഷനുകൾ സങ്കീർണ്ണമായ ആക്രമണങ്ങളാൽ കൂടുതലായി ലക്ഷ്യം വയ്ക്കപ്പെടുന്നു, അതിനാൽ ശക്തമായ സുരക്ഷാ നടപടികൾ അത്യന്താപേക്ഷിതമാണ്. ഒരു സുരക്ഷിത ഫ്രണ്ട്എൻഡ് ആർക്കിടെക്ചറിന്റെ രണ്ട് നിർണായക ഘടകങ്ങളാണ് ഉള്ളടക്ക സുരക്ഷാ നയം (Content Security Policy - CSP), ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (Cross-Origin Resource Sharing - CORS) എന്നിവ. ഈ സാങ്കേതികവിദ്യകളെക്കുറിച്ച് ആഴത്തിലുള്ള ഒരു കാഴ്ചപ്പാട് നൽകുന്ന ഈ സമഗ്രമായ ഗൈഡ്, നിങ്ങളുടെ വെബ് ആപ്ലിക്കേഷനുകളെ ആധുനിക ഭീഷണികളിൽ നിന്ന് സംരക്ഷിക്കുന്നതിനുള്ള പ്രായോഗിക ഉദാഹരണങ്ങളും പ്രവർത്തനക്ഷമമായ ഉൾക്കാഴ്ചകളും വാഗ്ദാനം ചെയ്യുന്നു.

എന്താണ് ഉള്ളടക്ക സുരക്ഷാ നയം (CSP)?

ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS), ഡാറ്റാ ഇൻജെക്ഷൻ ആക്രമണങ്ങൾ എന്നിവ കണ്ടെത്താനും ലഘൂകരിക്കാനും സഹായിക്കുന്ന ഒരു അധിക സുരക്ഷാ പാളിയാണ് ഉള്ളടക്ക സുരക്ഷാ നയം (CSP). വെബ് സെർവർ ബ്രൗസറിലേക്ക് ഒരു Content-Security-Policy HTTP റെസ്‌പോൺസ് ഹെഡർ അയച്ചാണ് CSP നടപ്പിലാക്കുന്നത്. ഈ ഹെഡർ, ബ്രൗസറിന് ഉറവിടങ്ങൾ ലോഡ് ചെയ്യാൻ അനുവാദമുള്ള ഉറവിടങ്ങളുടെ ഒരു വൈറ്റ്‌ലിസ്റ്റ് നിർവചിക്കുന്നു. ഒരു ബ്രൗസറിന് ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉള്ളടക്കത്തിന്റെ ഉറവിടങ്ങൾ നിയന്ത്രിക്കുന്നതിലൂടെ, നിങ്ങളുടെ വെബ്സൈറ്റിലേക്ക് ക്ഷുദ്രകരമായ കോഡ് കടത്തിവിടുന്നത് ആക്രമണകാരികൾക്ക് വളരെ ബുദ്ധിമുട്ടുള്ളതാക്കുന്നു.

CSP എങ്ങനെ പ്രവർത്തിക്കുന്നു

അംഗീകൃത ഉറവിടങ്ങളിൽ നിന്ന് മാത്രം ഉറവിടങ്ങൾ (ഉദാഹരണത്തിന്, സ്ക്രിപ്റ്റുകൾ, സ്റ്റൈൽഷീറ്റുകൾ, ചിത്രങ്ങൾ, ഫോണ്ടുകൾ) ലോഡ് ചെയ്യാൻ ബ്രൗസറിന് നിർദ്ദേശം നൽകിയാണ് CSP പ്രവർത്തിക്കുന്നത്. ഈ ഉറവിടങ്ങൾ CSP ഹെഡറിൽ ഡയറക്റ്റീവുകൾ ഉപയോഗിച്ച് വ്യക്തമാക്കുന്നു. വ്യക്തമായി അനുവദിക്കാത്ത ഒരു ഉറവിടത്തിൽ നിന്ന് ഒരു റിസോഴ്സ് ലോഡ് ചെയ്യാൻ ബ്രൗസർ ശ്രമിച്ചാൽ, അത് അഭ്യർത്ഥന തടയുകയും ഒരു ലംഘനം റിപ്പോർട്ട് ചെയ്യുകയും ചെയ്യും.

CSP ഡയറക്റ്റീവുകൾ: ഒരു സമഗ്രമായ അവലോകനം

നിർദ്ദിഷ്ട ഉറവിടങ്ങളിൽ നിന്ന് ഏത് തരം ഉറവിടങ്ങൾ ലോഡ് ചെയ്യാമെന്ന് CSP ഡയറക്റ്റീവുകൾ നിയന്ത്രിക്കുന്നു. ഏറ്റവും പ്രധാനപ്പെട്ട ചില ഡയറക്റ്റീവുകൾ താഴെ നൽകുന്നു:

default-src: എല്ലാ ഉള്ളടക്ക തരങ്ങൾക്കുമുള്ള ഡിഫോൾട്ട് ഉറവിടം വ്യക്തമാക്കുന്നു. മറ്റ് കൂടുതൽ നിർദ്ദിഷ്ട ഡയറക്റ്റീവുകൾ ഇല്ലാത്തപ്പോൾ ഇത് ഒരു ഫാൾബാക്ക് ഡയറക്റ്റീവായി പ്രവർത്തിക്കുന്നു.
script-src: സ്ക്രിപ്റ്റുകൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു. XSS ആക്രമണങ്ങൾ തടയുന്നതിന് ഇത് നിർണായകമാണ്.
style-src: സ്റ്റൈൽഷീറ്റുകൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു.
img-src: ചിത്രങ്ങൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു.
font-src: ഫോണ്ടുകൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു.
media-src: ഓഡിയോ, വീഡിയോ എന്നിവ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു.
object-src: പ്ലഗിനുകൾ (ഉദാ. Flash) ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു. ഇതിന്റെ സുരക്ഷാ അപകടങ്ങൾ കാരണം പ്ലഗിനുകൾ പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കാൻ ഇത് പലപ്പോഴും 'none' ആയി സജ്ജമാക്കുന്നു.
frame-src: ഫ്രെയിമുകൾ (ഉദാ. <iframe>) ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ വ്യക്തമാക്കുന്നു.
connect-src: XMLHttpRequest, WebSocket, EventSource പോലുള്ള സ്ക്രിപ്റ്റ് ഇന്റർഫേസുകൾ ഉപയോഗിച്ച് യൂസർ ഏജന്റിന് കണക്റ്റുചെയ്യാൻ കഴിയുന്ന URL-കൾ വ്യക്തമാക്കുന്നു.
base-uri: ഒരു ഡോക്യുമെന്റിന്റെ <base> എലമെന്റിൽ ഉപയോഗിക്കാൻ കഴിയുന്ന URL-കൾ വ്യക്തമാക്കുന്നു.
form-action: ഫോം സമർപ്പിക്കലുകൾ അയയ്ക്കാൻ കഴിയുന്ന URL-കൾ വ്യക്തമാക്കുന്നു.
upgrade-insecure-requests: സുരക്ഷിതമല്ലാത്ത അഭ്യർത്ഥനകൾ (HTTP) സുരക്ഷിതമായ അഭ്യർത്ഥനകളിലേക്ക് (HTTPS) യാന്ത്രികമായി അപ്‌ഗ്രേഡ് ചെയ്യാൻ യൂസർ ഏജന്റിനോട് നിർദ്ദേശിക്കുന്നു.
report-uri: CSP ലംഘനങ്ങളെക്കുറിച്ചുള്ള റിപ്പോർട്ടുകൾ ബ്രൗസർ അയയ്‌ക്കേണ്ട ഒരു URL വ്യക്തമാക്കുന്നു. ഈ ഡയറക്റ്റീവ് `report-to` എന്നതിന് അനുകൂലമായി ഒഴിവാക്കിയിരിക്കുന്നു.
report-to: `Report-To` ഹെഡറിൽ നിർവചിച്ചിരിക്കുന്ന ഒരു റിപ്പോർട്ടിംഗ് ഗ്രൂപ്പിന്റെ പേര് വ്യക്തമാക്കുന്നു, അവിടെ ബ്രൗസർ CSP ലംഘനങ്ങളെക്കുറിച്ചുള്ള റിപ്പോർട്ടുകൾ അയയ്‌ക്കണം.

CSP സോഴ്സ് ലിസ്റ്റ് കീവേഡുകൾ

CSP ഡയറക്റ്റീവുകൾക്കുള്ളിൽ, അനുവദനീയമായ ഉറവിടങ്ങൾ നിർവചിക്കാൻ നിങ്ങൾക്ക് സോഴ്സ് ലിസ്റ്റ് കീവേഡുകൾ ഉപയോഗിക്കാം. സാധാരണയായി ഉപയോഗിക്കുന്ന ചില കീവേഡുകൾ താഴെ നൽകുന്നു:

'self': ഡോക്യുമെന്റിന്റെ അതേ ഉറവിടത്തിൽ (സ്കീം, ഹോസ്റ്റ്) നിന്നുള്ള ഉറവിടങ്ങളെ അനുവദിക്കുന്നു.
'none': എല്ലാ ഉറവിടങ്ങളിൽ നിന്നുമുള്ള ഉറവിടങ്ങളെയും അനുവദിക്കുന്നില്ല.
'unsafe-inline': ഇൻലൈൻ സ്ക്രിപ്റ്റുകളും സ്റ്റൈലുകളും ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു (ഉദാ. <script> ടാഗുകളും സ്റ്റൈൽ ആട്രിബ്യൂട്ടുകളും). XSS-ൽ നിന്നുള്ള CSP സംരക്ഷണത്തെ ഇത് ദുർബലപ്പെടുത്തുന്നതിനാൽ അതീവ ജാഗ്രതയോടെ ഉപയോഗിക്കുക.
'unsafe-eval': eval(), Function() പോലുള്ള ഡൈനാമിക് കോഡ് ഇവാലുവേഷൻ ഫംഗ്ഷനുകൾ ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു. ഇത് കാര്യമായ സുരക്ഷാ അപകടസാധ്യതകൾക്ക് കാരണമാകുന്നതിനാൽ അതീവ ജാഗ്രതയോടെ ഉപയോഗിക്കുക.
'unsafe-hashes': ഒരു നിശ്ചിത ഹാഷുമായി പൊരുത്തപ്പെടുന്ന നിർദ്ദിഷ്ട ഇൻലൈൻ ഇവന്റ് ഹാൻഡ്‌ലറുകളെയോ <style> ടാഗുകളെയോ അനുവദിക്കുന്നു. ബ്രൗസർ പിന്തുണ ആവശ്യമാണ്. ജാഗ്രതയോടെ ഉപയോഗിക്കുക.
'strict-dynamic': ഒരു നോൺസ് അല്ലെങ്കിൽ ഹാഷ് ഉപയോഗിച്ച് മാർക്ക്അപ്പിൽ നൽകിയിട്ടുള്ള ഒരു സ്ക്രിപ്റ്റിന് നൽകുന്ന വിശ്വാസം, ആ റൂട്ട് സ്ക്രിപ്റ്റ് ലോഡ് ചെയ്യുന്ന എല്ലാ സ്ക്രിപ്റ്റുകളിലേക്കും പ്രചരിപ്പിക്കണമെന്ന് വ്യക്തമാക്കുന്നു.
data: ഡാറ്റ: URIs അനുവദിക്കുന്നു (ഉദാ. ബേസ്64 ആയി എൻകോഡ് ചെയ്ത ഇൻലൈൻ ചിത്രങ്ങൾ). ജാഗ്രതയോടെ ഉപയോഗിക്കുക.
https:: ഏതൊരു ഡൊമെയ്‌നിൽ നിന്നും HTTPS വഴി ഉറവിടങ്ങൾ ലോഡ് ചെയ്യാൻ അനുവദിക്കുന്നു.
[hostname]: ഒരു നിർദ്ദിഷ്ട ഡൊമെയ്‌നിൽ നിന്നുള്ള ഉറവിടങ്ങളെ അനുവദിക്കുന്നു (ഉദാ. example.com). നിങ്ങൾക്ക് ഒരു പോർട്ട് നമ്പറും വ്യക്തമാക്കാം (ഉദാ. example.com:8080).
[scheme]://[hostname]:[port]: പൂർണ്ണ യോഗ്യതയുള്ള ഒരു URI, നിർദ്ദിഷ്ട സ്കീം, ഹോസ്റ്റ്, പോർട്ട് എന്നിവയിൽ നിന്നുള്ള ഉറവിടങ്ങളെ അനുവദിക്കുന്നു.

പ്രായോഗിക CSP ഉദാഹരണങ്ങൾ

CSP ഹെഡറുകളുടെ ചില പ്രായോഗിക ഉദാഹരണങ്ങൾ നോക്കാം:

ഉദാഹരണം 1: 'self' ഉപയോഗിച്ചുള്ള അടിസ്ഥാന CSP

ഈ നയം ഒരേ ഉറവിടത്തിൽ നിന്നുള്ള ഉറവിടങ്ങളെ മാത്രമേ അനുവദിക്കൂ:

            Content-Security-Policy: default-src 'self'

ഉദാഹരണം 2: ഒരു നിർദ്ദിഷ്ട ഡൊമെയ്‌നിൽ നിന്ന് സ്ക്രിപ്റ്റുകൾ അനുവദിക്കൽ

ഈ നയം നിങ്ങളുടെ സ്വന്തം ഡൊമെയ്‌നിൽ നിന്നും വിശ്വസനീയമായ ഒരു CDN-ൽ നിന്നും സ്ക്രിപ്റ്റുകൾ അനുവദിക്കുന്നു:

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com

ഉദാഹരണം 3: ഇൻലൈൻ സ്ക്രിപ്റ്റുകളും സ്റ്റൈലുകളും പ്രവർത്തനരഹിതമാക്കൽ

ഈ നയം ഇൻലൈൻ സ്ക്രിപ്റ്റുകളും സ്റ്റൈലുകളും അനുവദിക്കുന്നില്ല, ഇത് XSS-നെതിരായ ശക്തമായ പ്രതിരോധമാണ്:

            Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'

പ്രധാനപ്പെട്ടത്: ഇൻലൈൻ സ്ക്രിപ്റ്റുകൾ പ്രവർത്തനരഹിതമാക്കുന്നതിന് ഇൻലൈൻ സ്ക്രിപ്റ്റുകൾ ബാഹ്യ ഫയലുകളിലേക്ക് മാറ്റുന്നതിന് നിങ്ങളുടെ HTML റീഫാക്റ്റർ ചെയ്യേണ്ടതുണ്ട്.

ഉദാഹരണം 4: ഇൻലൈൻ സ്ക്രിപ്റ്റുകൾക്കായി നോൺസുകൾ (Nonces) ഉപയോഗിക്കൽ

നിങ്ങൾ ഇൻലൈൻ സ്ക്രിപ്റ്റുകൾ ഉപയോഗിക്കണമെങ്കിൽ, നിർദ്ദിഷ്ട ഇൻലൈൻ സ്ക്രിപ്റ്റ് ബ്ലോക്കുകളെ വൈറ്റ്‌ലിസ്റ്റ് ചെയ്യുന്നതിന് നോൺസുകൾ (ക്രിപ്റ്റോഗ്രാഫിക്കായി റാൻഡം, ഒറ്റത്തവണ ഉപയോഗിക്കാവുന്ന ടോക്കണുകൾ) ഉപയോഗിക്കുക. ഇത് 'unsafe-inline' എന്നതിനേക്കാൾ സുരക്ഷിതമാണ്. സെർവർ ഓരോ അഭ്യർത്ഥനയ്ക്കും ഒരു തനതായ നോൺസ് ഉണ്ടാക്കുകയും അത് CSP ഹെഡറിലും <script> ടാഗിലും ഉൾപ്പെടുത്തുകയും വേണം.

            Content-Security-Policy: default-src 'self'; script-src 'nonce-r4nd0mN0nc3'; style-src 'self'

            <script nonce="r4nd0mN0nc3"> console.log('Inline script'); </script>

കുറിപ്പ്: ഓരോ അഭ്യർത്ഥനയ്ക്കും ഒരു പുതിയ നോൺസ് ഉണ്ടാക്കാൻ ഓർമ്മിക്കുക. നോൺസുകൾ വീണ്ടും ഉപയോഗിക്കരുത്!

ഉദാഹരണം 5: ഇൻലൈൻ സ്റ്റൈലുകൾക്കായി ഹാഷുകൾ (Hashes) ഉപയോഗിക്കൽ

നോൺസുകൾക്ക് സമാനമായി, നിർദ്ദിഷ്ട ഇൻലൈൻ <style> ബ്ലോക്കുകളെ വൈറ്റ്‌ലിസ്റ്റ് ചെയ്യുന്നതിന് ഹാഷുകൾ ഉപയോഗിക്കാം. സ്റ്റൈൽ ഉള്ളടക്കത്തിന്റെ SHA256, SHA384, അല്ലെങ്കിൽ SHA512 ഹാഷ് ഉണ്ടാക്കിയാണ് ഇത് ചെയ്യുന്നത്.

            Content-Security-Policy: default-src 'self'; style-src 'sha256-HASHEDSTYLES'

            <style sha256="HASHEDSTYLES"> body { background-color: #f0f0f0; } </style>

കുറിപ്പ്: സ്റ്റൈൽ ഉള്ളടക്കത്തിലെ ഏതൊരു മാറ്റവും ഹാഷിനെ അസാധുവാക്കുന്നതിനാൽ ഹാഷുകൾ നോൺസുകളേക്കാൾ അയവുള്ളതല്ല.

ഉദാഹരണം 6: CSP ലംഘനങ്ങൾ റിപ്പോർട്ട് ചെയ്യൽ

CSP ലംഘനങ്ങൾ നിരീക്ഷിക്കാൻ, report-uri അല്ലെങ്കിൽ report-to ഡയറക്റ്റീവ് ഉപയോഗിക്കുക:

            Content-Security-Policy: default-src 'self'; report-to csp-endpoint;

നിങ്ങൾ Report-To ഹെഡർ കോൺഫിഗർ ചെയ്യേണ്ടതുമുണ്ട്. Report-To ഹെഡർ ഒന്നോ അതിലധികമോ റിപ്പോർട്ടിംഗ് ഗ്രൂപ്പുകളെ നിർവചിക്കുന്നു, അവ റിപ്പോർട്ടുകൾ എവിടെ, എങ്ങനെ അയയ്ക്കണമെന്ന് വ്യക്തമാക്കുന്നു.

            Report-To: {"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"https://example.com/csp-report"}]}

CSP പരീക്ഷിക്കുകയും വിന്യസിക്കുകയും ചെയ്യൽ

CSP നടപ്പിലാക്കുന്നതിന് ശ്രദ്ധാപൂർവ്വമായ ആസൂത്രണവും പരീക്ഷണവും ആവശ്യമാണ്. നിയന്ത്രിതമായ ഒരു നയത്തിൽ തുടങ്ങി ആവശ്യാനുസരണം ക്രമേണ അത് ലഘൂകരിക്കുക. ഉറവിടങ്ങൾ തടയാതെ നിങ്ങളുടെ നയം പരീക്ഷിക്കാൻ Content-Security-Policy-Report-Only ഹെഡർ ഉപയോഗിക്കുക. ഈ ഹെഡർ നയം നടപ്പിലാക്കാതെ ലംഘനങ്ങൾ റിപ്പോർട്ട് ചെയ്യുന്നു, ഇത് പ്രൊഡക്ഷനിൽ നയം വിന്യസിക്കുന്നതിന് മുമ്പ് പ്രശ്നങ്ങൾ കണ്ടെത്താനും പരിഹരിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു.

            Content-Security-Policy-Report-Only: default-src 'self'; report-to csp-endpoint;

ഏതെങ്കിലും ലംഘനങ്ങൾ കണ്ടെത്താനും നിങ്ങളുടെ നയം അതനുസരിച്ച് ക്രമീകരിക്കാനും ബ്രൗസർ സൃഷ്ടിക്കുന്ന റിപ്പോർട്ടുകൾ വിശകലനം ചെയ്യുക. നിങ്ങളുടെ നയം ശരിയായി പ്രവർത്തിക്കുന്നുവെന്ന് ഉറപ്പായുകഴിഞ്ഞാൽ, Content-Security-Policy ഹെഡർ ഉപയോഗിച്ച് അത് വിന്യസിക്കുക.

CSP-യുടെ മികച്ച രീതികൾ

ഒരു default-src ഉപയോഗിച്ച് ആരംഭിക്കുക: ഒരു അടിസ്ഥാന നയം സ്ഥാപിക്കാൻ എപ്പോഴും ഒരു default-src നിർവചിക്കുക.
കൃത്യത പാലിക്കുക: നിങ്ങളുടെ നയത്തിന്റെ വ്യാപ്തി പരിമിതപ്പെടുത്തുന്നതിന് നിർദ്ദിഷ്ട ഡയറക്റ്റീവുകളും സോഴ്സ് ലിസ്റ്റ് കീവേഡുകളും ഉപയോഗിക്കുക.
'unsafe-inline', 'unsafe-eval' എന്നിവ ഒഴിവാക്കുക: ഈ കീവേഡുകൾ CSP-യെ ദുർബലപ്പെടുത്തുന്നു, അതിനാൽ സാധ്യമാകുമ്പോഴെല്ലാം അവ ഒഴിവാക്കണം.
ഇൻലൈൻ സ്ക്രിപ്റ്റുകൾക്കും സ്റ്റൈലുകൾക്കുമായി നോൺസുകളോ ഹാഷുകളോ ഉപയോഗിക്കുക: നിങ്ങൾ ഇൻലൈൻ സ്ക്രിപ്റ്റുകളോ സ്റ്റൈലുകളോ ഉപയോഗിക്കണമെങ്കിൽ, നിർദ്ദിഷ്ട കോഡ് ബ്ലോക്കുകളെ വൈറ്റ്‌ലിസ്റ്റ് ചെയ്യുന്നതിന് നോൺസുകളോ ഹാഷുകളോ ഉപയോഗിക്കുക.
CSP ലംഘനങ്ങൾ നിരീക്ഷിക്കുക: CSP ലംഘനങ്ങൾ നിരീക്ഷിക്കാനും നിങ്ങളുടെ നയം അതനുസരിച്ച് ക്രമീകരിക്കാനും report-uri അല്ലെങ്കിൽ report-to ഡയറക്റ്റീവ് ഉപയോഗിക്കുക.
സമഗ്രമായി പരീക്ഷിക്കുക: പ്രൊഡക്ഷനിൽ വിന്യസിക്കുന്നതിന് മുമ്പ് നിങ്ങളുടെ നയം പരീക്ഷിക്കാൻ Content-Security-Policy-Report-Only ഹെഡർ ഉപയോഗിക്കുക.
ആവർത്തിക്കുകയും മെച്ചപ്പെടുത്തുകയും ചെയ്യുക: CSP ഒരു ഒറ്റത്തവണ കോൺഫിഗറേഷനല്ല. നിങ്ങളുടെ ആപ്ലിക്കേഷനിലെയും ഭീഷണിയുടെ സാഹചര്യത്തിലെയും മാറ്റങ്ങളുമായി പൊരുത്തപ്പെടാൻ നിങ്ങളുടെ നയം നിരന്തരം നിരീക്ഷിക്കുകയും മെച്ചപ്പെടുത്തുകയും ചെയ്യുക.

എന്താണ് ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (CORS)?

ഒരു ഉറവിടത്തിൽ (ഡൊമെയ്ൻ) നിന്നുള്ള വെബ് പേജുകൾക്ക് മറ്റൊരു ഉറവിടത്തിൽ നിന്നുള്ള ഉറവിടങ്ങൾ ആക്സസ് ചെയ്യാൻ അനുവദിക്കുന്ന ഒരു സംവിധാനമാണ് ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (CORS). ഡിഫോൾട്ടായി, ബ്രൗസറുകൾ ഒരേ-ഉറവിട നയം (Same-Origin Policy) നടപ്പിലാക്കുന്നു, ഇത് സ്ക്രിപ്റ്റുകൾ ഉത്ഭവിച്ച ഉറവിടത്തിൽ നിന്ന് വ്യത്യസ്തമായ ഒരു ഉറവിടത്തിലേക്ക് അഭ്യർത്ഥനകൾ നടത്തുന്നത് തടയുന്നു. ഈ നിയന്ത്രണം തിരഞ്ഞെടുത്ത് ലഘൂകരിക്കാൻ CORS ഒരു വഴി നൽകുന്നു, ഇത് ക്ഷുദ്രകരമായ ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷിക്കുമ്പോൾ തന്നെ നിയമാനുസൃതമായ ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനകളെ അനുവദിക്കുന്നു.

ഒരേ-ഉറവിട നയം (Same-Origin Policy) മനസ്സിലാക്കൽ

ഒരു വെബ്‌സൈറ്റിൽ നിന്നുള്ള ക്ഷുദ്രകരമായ ഒരു സ്ക്രിപ്റ്റ് മറ്റൊരു വെബ്‌സൈറ്റിലെ സെൻസിറ്റീവ് ഡാറ്റ ആക്‌സസ് ചെയ്യുന്നത് തടയുന്ന ഒരു അടിസ്ഥാന സുരക്ഷാ സംവിധാനമാണ് ഒരേ-ഉറവിട നയം. ഒരു ഉറവിടം സ്കീം (പ്രോട്ടോക്കോൾ), ഹോസ്റ്റ് (ഡൊമെയ്ൻ), പോർട്ട് എന്നിവയാൽ നിർവചിക്കപ്പെടുന്നു. രണ്ട് URL-കൾക്ക് ഒരേ സ്കീം, ഹോസ്റ്റ്, പോർട്ട് എന്നിവയുണ്ടെങ്കിൽ മാത്രമേ അവയ്ക്ക് ഒരേ ഉറവിടമുള്ളൂ.

ഉദാഹരണത്തിന്:

https://www.example.com/app1/index.html, https://www.example.com/app2/index.html എന്നിവയ്ക്ക് ഒരേ ഉറവിടമാണ്.
https://www.example.com/index.html, http://www.example.com/index.html എന്നിവയ്ക്ക് വ്യത്യസ്ത ഉറവിടങ്ങളാണ് (വ്യത്യസ്ത സ്കീം).
https://www.example.com/index.html, https://sub.example.com/index.html എന്നിവയ്ക്ക് വ്യത്യസ്ത ഉറവിടങ്ങളാണ് (വ്യത്യസ്ത ഹോസ്റ്റ്).
https://www.example.com:8080/index.html, https://www.example.com:80/index.html എന്നിവയ്ക്ക് വ്യത്യസ്ത ഉറവിടങ്ങളാണ് (വ്യത്യസ്ത പോർട്ട്).

CORS എങ്ങനെ പ്രവർത്തിക്കുന്നു

ഒരു വെബ് പേജ് ഒരു ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥന നടത്തുമ്പോൾ, ബ്രൗസർ ആദ്യം സെർവറിലേക്ക് ഒരു "പ്രീഫ്ലൈറ്റ്" അഭ്യർത്ഥന അയയ്ക്കുന്നു. പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥന HTTP OPTIONS രീതി ഉപയോഗിക്കുന്നു, കൂടാതെ യഥാർത്ഥ അഭ്യർത്ഥന ഉപയോഗിക്കുന്ന HTTP രീതിയും ഹെഡറുകളും സൂചിപ്പിക്കുന്ന ഹെഡറുകൾ ഉൾക്കൊള്ളുന്നു. തുടർന്ന് സെർവർ ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥന അനുവദനീയമാണോ എന്ന് സൂചിപ്പിക്കുന്ന ഹെഡറുകളുമായി പ്രതികരിക്കുന്നു.

സെർവർ അഭ്യർത്ഥന അനുവദിക്കുകയാണെങ്കിൽ, അത് പ്രതികരണത്തിൽ Access-Control-Allow-Origin ഹെഡർ ഉൾപ്പെടുത്തുന്നു. ഈ ഹെഡർ ഉറവിടം ആക്സസ് ചെയ്യാൻ അനുവദിച്ചിട്ടുള്ള ഉറവിട(ങ്ങൾ) വ്യക്തമാക്കുന്നു. തുടർന്ന് ബ്രൗസർ യഥാർത്ഥ അഭ്യർത്ഥനയുമായി മുന്നോട്ട് പോകുന്നു. സെർവർ അഭ്യർത്ഥന അനുവദിക്കുന്നില്ലെങ്കിൽ, അത് Access-Control-Allow-Origin ഹെഡർ ഉൾപ്പെടുത്തുന്നില്ല, ബ്രൗസർ അഭ്യർത്ഥന തടയുന്നു.

CORS ഹെഡറുകൾ: ഒരു വിശദമായ കാഴ്ച

ബ്രൗസറും സെർവറും തമ്മിൽ ആശയവിനിമയം നടത്താൻ CORS HTTP ഹെഡറുകളെ ആശ്രയിക്കുന്നു. പ്രധാനപ്പെട്ട CORS ഹെഡറുകൾ താഴെ നൽകുന്നു:

Access-Control-Allow-Origin: ഉറവിടം ആക്സസ് ചെയ്യാൻ അനുവദിച്ചിട്ടുള്ള ഉറവിട(ങ്ങൾ) വ്യക്തമാക്കുന്നു. ഈ ഹെഡറിൽ ഒരു നിർദ്ദിഷ്ട ഉറവിടം (ഉദാ. https://www.example.com), ഒരു വൈൽഡ്കാർഡ് (*), അല്ലെങ്കിൽ null എന്നിവ അടങ്ങിയിരിക്കാം. * ഉപയോഗിക്കുന്നത് ഏതൊരു ഉറവിടത്തിൽ നിന്നുമുള്ള അഭ്യർത്ഥനകളെയും അനുവദിക്കുന്നു, ഇത് സുരക്ഷാ കാരണങ്ങളാൽ പൊതുവെ ശുപാർശ ചെയ്യുന്നില്ല. `null` ഉപയോഗിക്കുന്നത് `file://` പ്രോട്ടോക്കോൾ വഴിയോ ഡാറ്റാ URI വഴിയോ റിസോഴ്സ് വീണ്ടെടുക്കുമ്പോൾ പോലെയുള്ള "ഒപ്പേക്ക് റെസ്പോൺസുകൾക്ക്" മാത്രം ഉചിതമാണ്.
Access-Control-Allow-Methods: ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനയ്ക്ക് അനുവദനീയമായ HTTP രീതികൾ വ്യക്തമാക്കുന്നു (ഉദാ. GET, POST, PUT, DELETE).
Access-Control-Allow-Headers: ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനയിൽ അനുവദനീയമായ HTTP ഹെഡറുകൾ വ്യക്തമാക്കുന്നു. കസ്റ്റം ഹെഡറുകൾ കൈകാര്യം ചെയ്യുന്നതിന് ഇത് പ്രധാനമാണ്.
Access-Control-Allow-Credentials: ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനയിൽ ബ്രൗസർ ക്രെഡൻഷ്യലുകൾ (ഉദാ. കുക്കികൾ, ഓതറൈസേഷൻ ഹെഡറുകൾ) ഉൾപ്പെടുത്തണമോ എന്ന് സൂചിപ്പിക്കുന്നു. ക്രെഡൻഷ്യലുകൾ അനുവദിക്കുന്നതിന് ഈ ഹെഡർ true ആയി സജ്ജമാക്കണം.
Access-Control-Expose-Headers: ക്ലയന്റിന് ഏതൊക്കെ ഹെഡറുകൾ എക്സ്പോസ് ചെയ്യാമെന്ന് വ്യക്തമാക്കുന്നു. ഡിഫോൾട്ടായി, പരിമിതമായ എണ്ണം ഹെഡറുകൾ മാത്രമേ എക്സ്പോസ് ചെയ്യുകയുള്ളൂ.
Access-Control-Max-Age: ബ്രൗസറിന് പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥന കാഷെ ചെയ്യാൻ കഴിയുന്ന പരമാവധി സമയം (സെക്കൻഡിൽ) വ്യക്തമാക്കുന്നു.
Origin: അഭ്യർത്ഥനയുടെ ഉറവിടം സൂചിപ്പിക്കാൻ ബ്രൗസർ അയയ്ക്കുന്ന ഒരു അഭ്യർത്ഥന ഹെഡറാണിത്.
Vary: ഒരു പൊതുവായ HTTP ഹെഡറാണെങ്കിലും, CORS-ന് ഇത് പ്രധാനമാണ്. `Access-Control-Allow-Origin` ചലനാത്മകമായി ജനറേറ്റ് ചെയ്യുമ്പോൾ, പ്രതികരണത്തിൽ `Vary: Origin` ഹെഡർ ഉൾപ്പെടുത്തണം. `Origin` അഭ്യർത്ഥന ഹെഡറിനെ അടിസ്ഥാനമാക്കി പ്രതികരണം വ്യത്യാസപ്പെടുന്നു എന്ന് കാഷിംഗ് മെക്കാനിസങ്ങളെ അറിയിക്കാനാണിത്.

പ്രായോഗിക CORS ഉദാഹരണങ്ങൾ

CORS കോൺഫിഗറേഷനുകളുടെ ചില പ്രായോഗിക ഉദാഹരണങ്ങൾ നോക്കാം:

ഉദാഹരണം 1: ഒരു നിർദ്ദിഷ്ട ഉറവിടത്തിൽ നിന്നുള്ള അഭ്യർത്ഥനകൾ അനുവദിക്കൽ

ഈ കോൺഫിഗറേഷൻ https://www.example.com-ൽ നിന്നുള്ള അഭ്യർത്ഥനകളെ മാത്രം അനുവദിക്കുന്നു:

            Access-Control-Allow-Origin: https://www.example.com

ഉദാഹരണം 2: ഏതൊരു ഉറവിടത്തിൽ നിന്നുമുള്ള അഭ്യർത്ഥനകൾ അനുവദിക്കൽ (ശുപാർശ ചെയ്യുന്നില്ല)

ഈ കോൺഫിഗറേഷൻ ഏതൊരു ഉറവിടത്തിൽ നിന്നുമുള്ള അഭ്യർത്ഥനകളെയും അനുവദിക്കുന്നു. ഇത് സുരക്ഷാ അപകടസാധ്യതകൾക്ക് കാരണമാകുമെന്നതിനാൽ ജാഗ്രതയോടെ ഉപയോഗിക്കുക:

            Access-Control-Allow-Origin: *

ഉദാഹരണം 3: നിർദ്ദിഷ്ട രീതികളും ഹെഡറുകളും അനുവദിക്കൽ

ഈ കോൺഫിഗറേഷൻ GET, POST, PUT രീതികളെയും Content-Type, Authorization ഹെഡറുകളെയും അനുവദിക്കുന്നു:

            Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type, Authorization

ഉദാഹരണം 4: ക്രെഡൻഷ്യലുകൾ അനുവദിക്കൽ

ക്രെഡൻഷ്യലുകൾ (ഉദാ. കുക്കികൾ) അനുവദിക്കുന്നതിന്, നിങ്ങൾ Access-Control-Allow-Credentials-നെ true ആയി സജ്ജമാക്കുകയും ഒരു നിർദ്ദിഷ്ട ഉറവിടം വ്യക്തമാക്കുകയും വേണം (ക്രെഡൻഷ്യലുകൾ അനുവദിക്കുമ്പോൾ നിങ്ങൾക്ക് * ഉപയോഗിക്കാൻ കഴിയില്ല):

            Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Credentials: true

നിങ്ങളുടെ JavaScript fetch/XMLHttpRequest അഭ്യർത്ഥനയിൽ credentials: 'include' എന്ന് സജ്ജീകരിക്കുകയും വേണം.

            fetch('https://api.example.com/data', {
  credentials: 'include'
})

CORS പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനകൾ

ചില തരം ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനകൾക്ക് (ഉദാ. കസ്റ്റം ഹെഡറുകളുള്ള അഭ്യർത്ഥനകൾ അല്ലെങ്കിൽ GET, HEAD, POST എന്നിവയല്ലാതെ മറ്റ് രീതികളുള്ള അഭ്യർത്ഥനകൾക്ക്), ബ്രൗസർ OPTIONS രീതി ഉപയോഗിച്ച് ഒരു പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥന അയയ്ക്കുന്നു. യഥാർത്ഥ അഭ്യർത്ഥന അനുവദനീയമാണോ എന്ന് സൂചിപ്പിക്കുന്നതിന് സെർവർ ഉചിതമായ CORS ഹെഡറുകളുമായി പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനയ്ക്ക് മറുപടി നൽകണം.

ഒരു പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനയുടെയും പ്രതികരണത്തിന്റെയും ഒരു ഉദാഹരണം താഴെ നൽകുന്നു:

പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥന (OPTIONS):

            OPTIONS /data HTTP/1.1
Origin: https://www.example.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Content-Type, Authorization

പ്രീഫ്ലൈറ്റ് പ്രതികരണം (200 OK):

            HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://www.example.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Max-Age: 86400

Access-Control-Max-Age ഹെഡർ ബ്രൗസറിന് പ്രീഫ്ലൈറ്റ് പ്രതികരണം എത്രനേരം കാഷെ ചെയ്യാമെന്ന് വ്യക്തമാക്കുന്നു, ഇത് പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനകളുടെ എണ്ണം കുറയ്ക്കുന്നു.

CORS-ഉം JSONP-യും

ഒരേ-ഉറവിട നയം മറികടക്കാനുള്ള ഒരു പഴയ സാങ്കേതികതയാണ് JSON വിത്ത് പാഡിംഗ് (JSONP). എന്നിരുന്നാലും, JSONP-ക്ക് കാര്യമായ സുരക്ഷാ അപകടസാധ്യതകളുണ്ട്, അതിനാൽ CORS-ന് അനുകൂലമായി അത് ഒഴിവാക്കണം. JSONP പേജിലേക്ക് <script> ടാഗുകൾ ഇൻജെക്റ്റ് ചെയ്യുന്നതിനെ ആശ്രയിക്കുന്നു, ഇത് ഏത് കോഡും എക്സിക്യൂട്ട് ചെയ്യാൻ കഴിയും. ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനകൾ കൈകാര്യം ചെയ്യുന്നതിന് CORS കൂടുതൽ സുരക്ഷിതവും അയവുള്ളതുമായ ഒരു മാർഗ്ഗം നൽകുന്നു.

CORS-ന്റെ മികച്ച രീതികൾ

*: ഒഴിവാക്കുക: Access-Control-Allow-Origin ഹെഡറിൽ വൈൽഡ്കാർഡ് (*) ഉപയോഗിക്കുന്നത് ഒഴിവാക്കുക, കാരണം ഇത് ഏതൊരു ഉറവിടത്തിൽ നിന്നുമുള്ള അഭ്യർത്ഥനകളെയും അനുവദിക്കുന്നു. പകരം, ഉറവിടം ആക്സസ് ചെയ്യാൻ അനുവദിച്ചിട്ടുള്ള നിർദ്ദിഷ്ട ഉറവിട(ങ്ങൾ) വ്യക്തമാക്കുക.
രീതികളിലും ഹെഡറുകളിലും കൃത്യത പാലിക്കുക: Access-Control-Allow-Methods, Access-Control-Allow-Headers ഹെഡറുകളിൽ അനുവദനീയമായ കൃത്യമായ HTTP രീതികളും ഹെഡറുകളും വ്യക്തമാക്കുക.
Access-Control-Allow-Credentials ജാഗ്രതയോടെ ഉപയോഗിക്കുക: ക്രോസ്-ഒറിജിൻ അഭ്യർത്ഥനകളിൽ ക്രെഡൻഷ്യലുകൾ (ഉദാ. കുക്കികൾ) അനുവദിക്കേണ്ടതുണ്ടെങ്കിൽ മാത്രം Access-Control-Allow-Credentials പ്രവർത്തനക്ഷമമാക്കുക. ക്രെഡൻഷ്യലുകൾ അനുവദിക്കുന്നതിന്റെ സുരക്ഷാ പ്രത്യാഘാതങ്ങളെക്കുറിച്ച് ബോധവാന്മാരായിരിക്കുക.
നിങ്ങളുടെ പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനകൾ സുരക്ഷിതമാക്കുക: നിങ്ങളുടെ സെർവർ പ്രീഫ്ലൈറ്റ് അഭ്യർത്ഥനകൾ ശരിയായി കൈകാര്യം ചെയ്യുന്നുവെന്നും ശരിയായ CORS ഹെഡറുകൾ നൽകുന്നുവെന്നും ഉറപ്പാക്കുക.
HTTPS ഉപയോഗിക്കുക: ഉറവിടത്തിനും നിങ്ങൾ ക്രോസ്-ഒറിജിൻ ആക്സസ് ചെയ്യുന്ന ഉറവിടങ്ങൾക്കും എപ്പോഴും HTTPS ഉപയോഗിക്കുക. ഇത് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷിക്കാൻ സഹായിക്കുന്നു.
Vary: Origin: നിങ്ങൾ Access-Control-Allow-Origin ഹെഡർ ചലനാത്മകമായി ജനറേറ്റ് ചെയ്യുകയാണെങ്കിൽ, കാഷിംഗ് പ്രശ്നങ്ങൾ തടയാൻ എപ്പോഴും Vary: Origin ഹെഡർ ഉൾപ്പെടുത്തുക.

പ്രായോഗികമായി CSP-യും CORS-ഉം: ഒരു സംയോജിത സമീപനം

CSP-യും CORS-ഉം സുരക്ഷാ ആശങ്കകളെ അഭിസംബോധന ചെയ്യുന്നുണ്ടെങ്കിലും, അവ വ്യത്യസ്ത തലങ്ങളിൽ പ്രവർത്തിക്കുകയും പരസ്പര പൂരകമായ സംരക്ഷണം നൽകുകയും ചെയ്യുന്നു. ക്ഷുദ്രകരമായ ഉള്ളടക്കം ലോഡ് ചെയ്യുന്നതിൽ നിന്ന് ബ്രൗസറിനെ തടയുന്നതിൽ CSP ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു, അതേസമയം നിങ്ങളുടെ സെർവറിലെ ഉറവിടങ്ങൾ ഏതൊക്കെ ഉറവിടങ്ങൾക്ക് ആക്സസ് ചെയ്യാമെന്ന് നിയന്ത്രിക്കുന്നതിൽ CORS ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.

CSP-യും CORS-ഉം സംയോജിപ്പിക്കുന്നതിലൂടെ, നിങ്ങളുടെ വെബ് ആപ്ലിക്കേഷനുകൾക്ക് കൂടുതൽ ശക്തമായ ഒരു സുരക്ഷാ നിലപാട് സൃഷ്ടിക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, സ്ക്രിപ്റ്റുകൾ ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഉറവിടങ്ങൾ നിയന്ത്രിക്കാൻ നിങ്ങൾക്ക് CSP ഉപയോഗിക്കാം, കൂടാതെ നിങ്ങളുടെ API എൻഡ്‌പോയിന്റുകൾ ഏതൊക്കെ ഉറവിടങ്ങൾക്ക് ആക്സസ് ചെയ്യാമെന്ന് നിയന്ത്രിക്കാൻ CORS ഉപയോഗിക്കാം.

ഉദാഹരണം: CSP-യും CORS-ഉം ഉപയോഗിച്ച് ഒരു API സുരക്ഷിതമാക്കൽ

നിങ്ങൾക്ക് https://api.example.com-ൽ ഹോസ്റ്റ് ചെയ്തിട്ടുള്ള ഒരു API ഉണ്ടെന്ന് കരുതുക, അത് https://www.example.com-ൽ നിന്ന് മാത്രം ആക്സസ് ചെയ്യാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നു. നിങ്ങളുടെ സെർവർ ഇനിപ്പറയുന്ന ഹെഡറുകൾ നൽകുന്നതിന് നിങ്ങൾക്ക് കോൺഫിഗർ ചെയ്യാൻ കഴിയും:

API റെസ്‌പോൺസ് ഹെഡറുകൾ (https://api.example.com):

            Access-Control-Allow-Origin: https://www.example.com
Content-Type: application/json

കൂടാതെ നിങ്ങളുടെ വെബ്സൈറ്റ് (https://www.example.com) ഇനിപ്പറയുന്ന CSP ഹെഡർ ഉപയോഗിക്കാൻ നിങ്ങൾക്ക് കോൺഫിഗർ ചെയ്യാം:

വെബ്സൈറ്റ് CSP ഹെഡർ (https://www.example.com):

            Content-Security-Policy: default-src 'self'; script-src 'self'; connect-src 'self' https://api.example.com;

ഈ CSP നയം വെബ്സൈറ്റിന് സ്ക്രിപ്റ്റുകൾ ലോഡ് ചെയ്യാനും API-ലേക്ക് കണക്റ്റുചെയ്യാനും അനുവദിക്കുന്നു, എന്നാൽ മറ്റ് ഡൊമെയ്‌നുകളിലേക്ക് സ്ക്രിപ്റ്റുകൾ ലോഡ് ചെയ്യുന്നതിൽ നിന്നോ കണക്റ്റുചെയ്യുന്നതിൽ നിന്നോ ഇത് തടയുന്നു.

ഉപസംഹാരം

നിങ്ങളുടെ ഫ്രണ്ട്എൻഡ് ആപ്ലിക്കേഷനുകളുടെ സുരക്ഷ കടുപ്പിക്കുന്നതിനുള്ള അത്യാവശ്യ ഉപകരണങ്ങളാണ് ഉള്ളടക്ക സുരക്ഷാ നയവും (CSP) ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗും (CORS). CSP-യും CORS-ഉം ശ്രദ്ധാപൂർവ്വം കോൺഫിഗർ ചെയ്യുന്നതിലൂടെ, XSS ആക്രമണങ്ങൾ, ഡാറ്റാ ഇൻജെക്ഷൻ ആക്രമണങ്ങൾ, മറ്റ് സുരക്ഷാ വീഴ്ചകൾ എന്നിവയുടെ അപകടസാധ്യത നിങ്ങൾക്ക് ഗണ്യമായി കുറയ്ക്കാൻ കഴിയും. ഒരു നിയന്ത്രിത നയത്തിൽ തുടങ്ങി, സമഗ്രമായി പരീക്ഷിക്കുക, നിങ്ങളുടെ ആപ്ലിക്കേഷനിലെയും മാറിക്കൊണ്ടിരിക്കുന്ന ഭീഷണിയുടെ സാഹചര്യത്തിലെയും മാറ്റങ്ങളുമായി പൊരുത്തപ്പെടാൻ നിങ്ങളുടെ കോൺഫിഗറേഷൻ നിരന്തരം നിരീക്ഷിക്കുകയും മെച്ചപ്പെടുത്തുകയും ചെയ്യുക. ഫ്രണ്ട്എൻഡ് സുരക്ഷയ്ക്ക് മുൻഗണന നൽകുന്നതിലൂടെ, ഇന്നത്തെ സങ്കീർണ്ണമായ ഡിജിറ്റൽ ലോകത്ത് നിങ്ങളുടെ ഉപയോക്താക്കളെ സംരക്ഷിക്കാനും നിങ്ങളുടെ വെബ് ആപ്ലിക്കേഷനുകളുടെ സമഗ്രത ഉറപ്പാക്കാനും കഴിയും.