جب کوئی براؤزر کسی مقامی سرور سے درخواست کرتا ہے، تو وہ سرور کو اضافی معلومات فراہم کرنے کے لیے اضافی ہیڈرز، جیسے میزبان اور اصل ہیڈر منسلک کرتا ہے۔ یہ ہیڈر ویب ایپلیکیشنز کے تحفظ اور مناسب کام کو یقینی بنانے میں اہم کردار ادا کرتے ہیں۔ اس جواب میں، ہم دریافت کریں گے کہ براؤزر ان ہیڈرز کو کس طرح منسلک کرتا ہے اور مقامی HTTP سرور سیکیورٹی کے تناظر میں ان کی اہمیت پر تبادلہ خیال کریں گے۔
میزبان ہیڈر HTTP درخواست کا ایک لازمی جزو ہے اور اس کا استعمال ہدف کے میزبان کی وضاحت کرنے کے لیے کیا جاتا ہے جس کو درخواست بھیجی جا رہی ہے۔ کسی مقامی سرور سے درخواست کرتے وقت، براؤزر میں میزبان ہیڈر شامل ہوتا ہے تاکہ اس سرور کے میزبان نام یا IP ایڈریس کی نشاندہی کی جا سکے جس سے وہ بات چیت کرنا چاہتا ہے۔ یہ سرور کو درخواست کی مطلوبہ منزل کی شناخت کرنے کی اجازت دیتا ہے۔ مثال کے طور پر، اگر کوئی براؤزر IP ایڈریس 192.168.0.1 کے ساتھ مقامی سرور پر ہوسٹ کردہ ویب صفحہ تک رسائی حاصل کرنا چاہتا ہے، تو اس میں میزبان ہیڈر درج ذیل شامل ہوگا: "میزبان: 192.168.0.1"۔ اس کے بعد سرور اس معلومات کو مناسب وسائل کی درخواست کو روٹ کرنے کے لیے استعمال کرتا ہے۔
دوسری طرف اصل ہیڈر، ایک حفاظتی طریقہ کار ہے جسے جدید براؤزرز نے کراس اوریجن حملوں سے بچانے کے لیے نافذ کیا ہے۔ یہ اس اصل کی وضاحت کرتا ہے جہاں سے درخواست کی جا رہی ہے، بشمول پروٹوکول، میزبان نام، اور پورٹ نمبر۔ براؤزر مقامی سرورز کی درخواستوں میں خودکار طور پر اصل ہیڈر کو شامل کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ سرور درخواست کے ماخذ کی تصدیق کر سکتا ہے۔ مثال کے طور پر، اگر "http://localhost:8080" پر ہوسٹ کردہ ویب صفحہ "http://localhost:3000" پر مقامی سرور سے درخواست کرتا ہے، تو براؤزر میں Origin ہیڈر اس طرح شامل ہوگا: "Origin: http ://localhost:8080"۔ یہ سرور کو اس بات کی توثیق کرنے کی اجازت دیتا ہے کہ درخواست متوقع ذریعہ سے شروع ہوئی ہے اور حساس وسائل تک غیر مجاز رسائی کو روکنے میں مدد ملتی ہے۔
میزبان اور اصل ہیڈر کے علاوہ، دوسرے ہیڈرز ہیں جنہیں براؤزر مقامی سرورز سے درخواست کرتے وقت منسلک کر سکتے ہیں۔ مثال کے طور پر، صارف ایجنٹ ہیڈر درخواست کرنے والے کلائنٹ ایپلیکیشن (یعنی براؤزر) کے بارے میں معلومات فراہم کرتا ہے۔ یہ ہیڈر سرور کو کلائنٹ کی صلاحیتوں اور حدود کو سمجھنے میں مدد کرتا ہے، اسے مناسب جوابات فراہم کرنے کے قابل بناتا ہے۔
یہ نوٹ کرنا ضروری ہے کہ براؤزر ان ہیڈرز کو بطور ڈیفالٹ منسلک کرتے ہیں، ان میں مختلف طریقوں سے ترمیم یا ہٹایا بھی جا سکتا ہے۔ یہ براؤزر ایکسٹینشنز، پراکسی سرورز، یا پروگرامنگ تکنیک کا استعمال کرتے ہوئے براہ راست درخواست میں ہیرا پھیری کے ذریعے کیا جا سکتا ہے۔ لہٰذا، سرور کے منتظمین کے لیے یہ ضروری ہے کہ وہ آنے والی درخواستوں کی توثیق اور صفائی کے لیے مناسب حفاظتی اقدامات کو نافذ کریں، ان ہیڈرز کی موجودگی سے قطع نظر۔
جب کوئی براؤزر مقامی سرور سے درخواست کرتا ہے، تو یہ اضافی ہیڈر منسلک کرتا ہے جیسے میزبان اور اصل ہیڈر۔ ہوسٹ ہیڈر درخواست کے ٹارگٹ ہوسٹ کی وضاحت کرتا ہے، جبکہ اصل ہیڈر کراس اوریجن حملوں سے حفاظت میں مدد کرتا ہے۔ یہ ہیڈر ویب ایپلیکیشنز کے تحفظ اور مناسب کام کو یقینی بنانے میں اہم کردار ادا کرتے ہیں۔ سرور کے منتظمین کو ان ہیڈرز سے آگاہ ہونا چاہیے اور آنے والی درخواستوں کو درست اور صاف کرنے کے لیے مناسب حفاظتی اقدامات کو نافذ کرنا چاہیے۔
سے متعلق دیگر حالیہ سوالات اور جوابات EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی کے بنیادی اصول:
- بازیافت میٹا ڈیٹا کی درخواست کے ہیڈر کیا ہیں اور انہیں ایک ہی اصل اور کراس سائٹ کی درخواستوں کے درمیان فرق کرنے کے لیے کیسے استعمال کیا جا سکتا ہے؟
- قابل اعتماد قسمیں کس طرح ویب ایپلیکیشنز کے حملے کی سطح کو کم کرتی ہیں اور حفاظتی جائزوں کو آسان بناتی ہیں؟
- قابل اعتماد قسموں میں پہلے سے طے شدہ پالیسی کا مقصد کیا ہے اور اسے غیر محفوظ سٹرنگ اسائنمنٹس کی شناخت کے لیے کیسے استعمال کیا جا سکتا ہے؟
- ٹرسٹڈ ٹائپس API کا استعمال کرتے ہوئے ٹرسٹڈ ٹائپ آبجیکٹ بنانے کا عمل کیا ہے؟
- مواد کی حفاظت کی پالیسی میں قابل اعتماد قسم کی ہدایت DOM پر مبنی کراس سائٹ اسکرپٹنگ (XSS) کی کمزوریوں کو کم کرنے میں کس طرح مدد کرتی ہے؟
- قابل اعتماد قسمیں کیا ہیں اور وہ ویب ایپلیکیشنز میں DOM پر مبنی XSS کی کمزوریوں کو کیسے دور کرتی ہیں؟
- مواد کی حفاظت کی پالیسی (CSP) کراس سائٹ اسکرپٹنگ (XSS) کی کمزوریوں کو کم کرنے میں کس طرح مدد کر سکتی ہے؟
- کراس سائٹ درخواست جعل سازی (CSRF) کیا ہے اور حملہ آوروں کے ذریعہ اس کا فائدہ کیسے اٹھایا جا سکتا ہے؟
- کسی ویب ایپلیکیشن میں XSS کی کمزوری صارف کے ڈیٹا سے کیسے سمجھوتہ کرتی ہے؟
- ویب ایپلیکیشنز میں عام طور پر پائے جانے والے خطرات کی دو اہم کلاسیں کیا ہیں؟
مزید سوالات اور جوابات EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی کے بنیادی اصولوں میں دیکھیں