আমি এইচটিটিপি (নন-এইচটিপিএস) সাইটে একটি পোষ্ট অনুরোধ করেছি, ক্রোমের বিকাশকারী সরঞ্জামগুলিতে অনুরোধটি পরীক্ষা করে দেখেছি এবং এটি সার্ভারে প্রেরণের আগে এটির নিজস্ব শিরোনাম যুক্ত করেছে:

Upgrade-Insecure-Requests: 1

একটি অনুসন্ধান করার পরে Upgrade-Insecure-Requests, আমি কেবল সার্ভারটি এই শিরোনামটি প্রেরণ সম্পর্কে তথ্য পেতে পারি :

Content-Security-Policy: upgrade-insecure-requests

এটি সম্পর্কিত বলে মনে হয়, তবে এখনও আমার চেয়ে আলাদা, ক্লায়েন্ট অনুরোধে শিরোনাম প্রেরণ করছে , আমি যে সমস্ত তথ্য পেয়েছি সেগুলি সার্ভারের সাথে সম্পর্কিত একটি শিরোনামকে একটি প্রতিক্রিয়াতে প্রেরণ করছে ।

তাহলে কেন ক্রোম (44.0.2403.130 মি) Upgrade-Insecure-Requestsআমার অনুরোধে যুক্ত হচ্ছে এবং এটি কী করে?

আপডেট 2016-08-24:

এই শিরোনামটি তখন থেকে ডাব্লু 3 সি পরীক্ষার্থীর প্রস্তাব হিসাবে যুক্ত করা হয়েছে এবং এটি এখন সরকারীভাবে স্বীকৃত।

যারা এই প্রশ্নটি সবে এসেছিল এবং বিভ্রান্ত হয়েছেন তাদের জন্য, সাইমন ইস্টের চমৎকার উত্তর এটি ভালভাবে ব্যাখ্যা করেছে।

Upgrade-Insecure-Requests: 1হেডার ব্যবহার করা হয় HTTPS: 1 পূর্ববর্তী W3C এর ওয়ার্কিং ড্রাফ্টে এবং নাম দেওয়া হয় শান্তভাবে আগে পরিবর্তন আনুষ্ঠানিকভাবে গ্রহণ করে নিয়েছিলেন Chrome এর দ্বারা।

(এই উত্তরণের সময় এই প্রশ্নটি জিজ্ঞাসা করা হয়েছিল যখন এই শিরোনামটিতে কোনও অফিসিয়াল ডকুমেন্টেশন ছিল না এবং ক্রোমই কেবল এই ব্রাউজারটি পাঠিয়েছিল))

সংক্ষিপ্ত উত্তর: এটি Content-Security-Policy: upgrade-insecure-requestsপ্রতিক্রিয়া শিরোনামের সাথে ঘনিষ্ঠভাবে সম্পর্কিত , ইঙ্গিত করে যে ব্রাউজারটি এটি সমর্থন করে (এবং বাস্তবে এটি পছন্দ করে)।

এটি আমার কাছে গুগলিংয়ের 30 মিনিট সময় নিয়েছিল তবে আমি শেষ পর্যন্ত এটি ডাব্লু 3 এর অনুষঙ্গে সমাধিস্থ হতে দেখলাম।

বিভ্রান্তিটি আসে কারণ এই অনুমানের শিরোনামটি ছিল HTTPS: 1, এবং ক্রোমিয়াম এটি এটি প্রয়োগ করে, কিন্তু এর পরে প্রচুর ওয়েবসাইটগুলি খারাপভাবে কোড করা হয়নি (বিশেষত ওয়ার্ডপ্রেস এবং ডাব্লুকমার্স) ক্রোমিয়াম টিম ক্ষমা চেয়েছিল:

"আমি এই ভাঙ্গনের জন্য ক্ষমাপ্রার্থী; দেব এবং বিটার সময় মতামতের উপর ভিত্তি করে আমি প্রভাবটিকে স্পষ্টতই কম বলেছি।"
- মাইক ওয়েস্ট, ক্রোম ইস্যুতে 501842

তাদের ফিক্সটি এটির নামকরণ করা হয়েছিল Upgrade-Insecure-Requests: 1, এবং সেই অনুমানটি মিলে যাওয়ার জন্য আপডেট করা হয়েছে।

যাইহোক, এখানে ডাব্লু 3 স্পেকের ব্যাখ্যা (যেমনটি এটি উপস্থিত হয়েছিল) ...

HTTPSHTTP অনুরোধ হেডার ক্ষেত্র সার্ভারে কোনও সংকেত পাঠায় ক্লায়েন্টের পছন্দ প্রকাশ একটি এনক্রিপ্ট করা এবং প্রমাণীকৃত প্রতিক্রিয়ার জন্য, এবং যে এটা সফলভাবে সব ব্যবস্থা করতে সক্ষম আপগ্রেড-অনিরাপদ-রিকোয়েস্টের নির্দেশে অর্ডার সম্ভব বিজোড় প্রদান হিসাবে পক্ষপাত করা হবে।

...

কোনও সার্ভার যখন এইচটিটিপি অনুরোধের শিরোনামে এই পছন্দটির মুখোমুখি হয়, তখন এটি অনুরোধ করা সংস্থার সম্ভাব্য সুরক্ষিত উপস্থাপনায় ব্যবহারকারীকে পুনর্নির্দেশ করা উচিত।

কোনও সার্ভার যখন এইচটিটিপিএস অনুরোধের শিরোনামে এই পছন্দটির মুখোমুখি হয়, Strict-Transport-Securityতখন অনুরোধের হোস্টটি এইচএসটিএস-নিরাপদ বা শর্তসাপেক্ষে এইচএসটিএস-নিরাপদ [আরএফসি 6797] থাকলে প্রতিক্রিয়াতে একটি শিরোনাম অন্তর্ভুক্ত করা উচিত ।

এটি পুরো বিষয়টি ব্যাখ্যা করে:

এইচটিটিপি কনটেন্ট-সিকিউরিটি-পলিসি (সিএসপি) আপগ্রেড-অনিরাপদ-অনুরোধের নির্দেশাবলী ব্যবহারকারী এজেন্টদের কোনও সাইটের সমস্ত অনিরাপদ ইউআরএল (এইচটিটিপি-র উপরে পরিবেশন করা) সকলকেই নিরাপদ ইউআরএল (এইচটিটিপিএস-এর উপরে পরিবেশন করা) দ্বারা প্রতিস্থাপিত করা হয়েছে এমন আচরণ করার নির্দেশ দেয়। এই নির্দেশটি বৃহত সংখ্যক অনিরাপদ উত্তরাধিকারের URL গুলির সাথে ওয়েবসাইটগুলির জন্য যা নতুন করে লেখা দরকার for

আপগ্রেড-অনিরাপদ-অনুরোধগুলির নির্দেশকে ব্লক-অল-মিক্সড-সামগ্রীগুলির আগে মূল্যায়ন করা হয় এবং যদি সেট করা থাকে তবে পরবর্তীটি কার্যকরভাবে একটি অন-আপ হয়। এটির একটি নির্দেশিকা বা অন্যটি সেট করার জন্য সুপারিশ করা হয় তবে উভয়ই নয়।

আপগ্রেড-অনিরাপদ-অনুরোধের নির্দেশনাটি নিশ্চিত করবে না যে তৃতীয় পক্ষের লিঙ্কগুলির মাধ্যমে আপনার সাইটটি পরিদর্শনকারী ব্যবহারকারীরা শীর্ষ-স্তরের নেভিগেশনের জন্য এইচটিটিপিএসে আপগ্রেড হবে এবং এইভাবে কঠোর-পরিবহন-সুরক্ষা (এইচএসটিএস) শিরোনামকে প্রতিস্থাপন করবে না, যা ব্যবহারকারীরা যাতে এসএসএল স্ট্রিপিং আক্রমণের শিকার না হন তা নিশ্চিত করার জন্য এখনও একটি উপযুক্ত সর্বোচ্চ-বয়সের সাথে সেট করা উচিত।

উত্স: https://developer.mozilla.org/en-US/docs/Web/HTTP/Heeda/Content-Security- পুলিশি / আপগ্রেড- সুরক্ষার-প্রয়োজনীয়তা