light mode
night mode
ওয়েব ডেভেলপার্স (Web Developers Guide)
ওয়েব ডেভেলপমেন্টের ভূমিকা এবং পরিচিতি ওয়েব ডেভেলপমেন্ট কী? ফ্রন্টএন্ড, ব্যাকএন্ড, এবং ফুল-স্ট্যাক ডেভেলপমেন্ট ওয়েব ডেভেলপমেন্টের ইতিহাস এবং বিকাশ ওয়েব ডেভেলপারদের দায়িত্ব এবং কাজের ক্ষেত্র ওয়েব ডেভেলপমেন্টের মৌলিক ধারণা ইন্টারনেট এবং ওয়ার্ল্ড ওয়াইড ওয়েবের ধারণা ওয়েব ব্রাউজার এবং ওয়েব সার্ভারের ভূমিকা HTTP এবং HTTPS প্রোটোকল ডোমেইন নেম এবং হোস্টিং পরিষেবা HTML (HyperText Markup Language) HTML এর মৌলিক ধারণা এবং সিনট্যাক্স ট্যাগ, এট্রিবিউট, এবং এলিমেন্টস হেডার, প্যারাগ্রাফ, লিস্ট, এবং লিঙ্কস ইমেজ, ভিডিও, এবং অডিও এমবেড করা HTML5 এর নতুন ফিচারস এবং সেমান্টিক এলিমেন্টস CSS (Cascading Style Sheets) CSS এর ভূমিকা এবং প্রয়োজনীয়তা সিলেক্টরস, প্রোপার্টিজ, এবং ভ্যালুজ ক্লাস এবং আইডি সিলেক্টরস বক্স মডেল, মার্জিন, প্যাডিং, এবং বর্ডার CSS লেআউট: ফ্লোট, ফ্লেক্সবক্স, এবং গ্রিড রেসপনসিভ ডিজাইন এবং মিডিয়া কুয়েরিজ জাভাস্ক্রিপ্ট (JavaScript) জাভাস্ক্রিপ্টের ভূমিকা এবং প্রয়োজনীয়তা ভেরিয়েবলস, ডেটা টাইপস, এবং অপারেটরস কন্ডিশনালস এবং লুপস ফাংশনস এবং ইভেন্ট হ্যান্ডলিং DOM (Document Object Model) ম্যানিপুলেশন জাভাস্ক্রিপ্ট এর মাধ্যমে ফর্ম ভ্যালিডেশন ফ্রন্টএন্ড ফ্রেমওয়ার্কস এবং লাইব্রেরিস জেকোয়েরি (jQuery) পরিচিতি React.js এর মৌলিক ধারণা Angular এবং Vue.js এর পরিচিতি Bootstrap এবং Materialize CSS ব্যবহার SPA (Single Page Application) তৈরি করা ব্যাকএন্ড ডেভেলপমেন্ট সার্ভার-সাইড প্রোগ্রামিং এর ধারণা জনপ্রিয় ব্যাকএন্ড ভাষা: PHP, Python, Node.js ফ্রেমওয়ার্কস: Laravel, Django, Express.js API এবং RESTful ওয়েব সার্ভিসেস Authentication এবং Authorization ডেটাবেস ম্যানেজমেন্ট সিস্টেমস ডেটাবেসের ধারণা এবং প্রয়োজনীয়তা রিলেশনাল ডেটাবেস (MySQL, PostgreSQL) নন-রিলেশনাল ডেটাবেস (MongoDB) SQL এর মৌলিক ধারণা ডেটাবেস ডিজাইন এবং মডেলিং ওয়েব হোস্টিং এবং ডোমেইন ম্যানেজমেন্ট ওয়েব হোস্টিং কী এবং কেন প্রয়োজন? শেয়ার্ড, VPS, এবং ক্লাউড হোস্টিং ডোমেইন নেম রেজিস্ট্রেশন এবং DNS সেটআপ SSL সার্টিফিকেট এবং সাইট নিরাপত্তা ডিপ্লয়মেন্ট প্রক্রিয়া এবং FTP/SFTP ব্যবহার ভার্সন কন্ট্রোল সিস্টেম (Git) ভার্সন কন্ট্রোলের ধারণা Git ইনস্টলেশন এবং মৌলিক কমান্ডস GitHub/GitLab এর সাথে রেপোজিটরি তৈরি ব্রাঞ্চিং এবং মার্জিং কলাবোরেশন এবং কনফ্লিক্ট রেজোলিউশন টেস্টিং এবং ডিবাগিং ওয়েব অ্যাপ্লিকেশন টেস্টিং এর প্রয়োজনীয়তা ইউনিট টেস্টিং এবং টেস্ট ড্রিভেন ডেভেলপমেন্ট ডিবাগিং টুলস এবং কনসোল ব্যবহার ব্রাউজার ডেভেলপার টুলস পারফরম্যান্স টেস্টিং এবং অপটিমাইজেশন সিকিউরিটি বেস্ট প্র্যাকটিস সিকিউরিটির গুরুত্ব এবং সাধারণ আক্রমণ SQL ইনজেকশন এবং XSS থেকে সুরক্ষা CSRF (Cross-Site Request Forgery) প্রতিরোধ ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন HTTPS এবং SSL/TLS সেটআপ রেসপনসিভ এবং মোবাইল-ফার্স্ট ডিজাইন রেসপনসিভ ডিজাইন এর প্রয়োজনীয়তা গ্রিড সিস্টেম এবং ফ্লেক্সবক্স ইমেজ এবং ভিডিও এর রেসপনসিভিটি মোবাইল-ফার্স্ট অ্যাপ্রোচ ক্রস-ব্রাউজার কম্প্যাটিবিলিটি অ্যাক্সেসিবিলিটি এবং SEO ওয়েব অ্যাক্সেসিবিলিটির ধারণা ARIA লেবেল এবং সেমান্টিক HTML স্ক্রিন রিডার সাপোর্ট সার্চ ইঞ্জিন অপটিমাইজেশন (SEO) বেস্ট প্র্যাকটিস মেটা ট্যাগস এবং সাইটম্যাপ তৈরি কনটেন্ট ম্যানেজমেন্ট সিস্টেম (CMS) CMS কী এবং এর ব্যবহার ওয়ার্ডপ্রেস (WordPress) পরিচিতি থিম এবং প্লাগইন ব্যবস্থাপনা কাস্টমাইজড থিম এবং প্লাগইন ডেভেলপমেন্ট সিকিউরিটি এবং আপডেট ম্যানেজমেন্ট ক্লাউড কম্পিউটিং এবং সার্ভারলেস আর্কিটেকচার ক্লাউড কম্পিউটিং এর ধারণা AWS, Google Cloud, এবং Azure পরিচিতি সার্ভারলেস ফাংশনস (AWS Lambda, Azure Functions) ক্লাউড স্টোরেজ এবং ডেটাবেস সেবা ক্লাউড ডিপ্লয়মেন্ট এবং স্কেলিং DevOps এবং কনটিনিউয়াস ইন্টিগ্রেশন/ডেলিভারি (CI/CD) DevOps এর ধারণা এবং প্রয়োজনীয়তা CI/CD পাইপলাইন সেটআপ জেনকিন্স (Jenkins), ট্র্যাভিস সিআই (Travis CI) এর ব্যবহার ডকার (Docker) এবং কনটেইনারাইজেশন কুবেরনেটিস (Kubernetes) পরিচিতি অ্যাডভান্সড জাভাস্ক্রিপ্ট এবং টাইপস্ক্রিপ্ট অ্যাসিনক্রোনাস জাভাস্ক্রিপ্ট (Promises, Async/Await) ES6 এবং পরবর্তী সংস্করণের ফিচারস টাইপস্ক্রিপ্টের ধারণা এবং ব্যবহার মডিউলার জাভাস্ক্রিপ্ট এবং ওয়েবপ্যাক (Webpack) প্রগ্রেসিভ ওয়েব অ্যাপ্লিকেশন (PWA) PWA কী এবং এর সুবিধা সার্ভিস ওয়ার্কার এবং ওয়েব অ্যাপ্লিকেশন ম্যানিফেস্ট অফলাইন সাপোর্ট এবং ক্যাশিং PWA ডিপ্লয়মেন্ট এবং বেস্ট প্র্যাকটিস ওয়েব অ্যাসেম্বলি এবং আধুনিক ওয়েব টেকনোলজি ওয়েব অ্যাসেম্বলি (WebAssembly) পরিচিতি ওয়েব আর্টিফিশিয়াল ইন্টেলিজেন্স (WebAI) এবং মেশিন লার্নিং ভিআর/এআর ওয়েব অ্যাপ্লিকেশন ওয়েব কম্পোনেন্টস এবং শ্যাডো DOM বেস্ট প্র্যাকটিস এবং কোডিং স্ট্যান্ডার্ডস ক্লিন কোড এবং রিডেবিলিটি DRY (Don't Repeat Yourself) এবং KISS (Keep It Simple, Stupid) প্রিন্সিপলস কোড রিভিউ এবং পিয়ার প্রোগ্রামিং স্টাইল গাইডস এবং লিন্টিং টুলস ক্যারিয়ার ডেভেলপমেন্ট এবং পরবর্তী পদক্ষেপ পোর্টফোলিও তৈরি এবং জব মার্কেট ইন্টারভিউ প্রস্তুতি এবং কমন প্রশ্নাবলী ওপেন সোর্স কন্ট্রিবিউশন ওয়েব ডেভেলপমেন্টে নতুন ট্রেন্ডস এবং টেকনোলজি

CSRF (Cross-Site Request Forgery) প্রতিরোধ

Web Development - ওয়েব ডেভেলপার্স (Web Developers Guide) - সিকিউরিটি বেস্ট প্র্যাকটিস
269

CSRF (Cross-Site Request Forgery) কী?

CSRF (Cross-Site Request Forgery) হল একটি ধরনের নিরাপত্তা আক্রমণ, যেখানে আক্রমণকারী একজন বৈধ ব্যবহারকারীর ব্রাউজারের মাধ্যমে একটি ম্যালিসিয়াস রিকোয়েস্ট পাঠায়। এটি মূলত ওয়েব অ্যাপ্লিকেশনগুলোকে লক্ষ্য করে যেখানে ব্যবহারকারী ইতিমধ্যে লগইন অবস্থায় থাকে। CSRF আক্রমণটি সাধারণত ইউজারের অজান্তে ঘটে, এবং এর মাধ্যমে আক্রমণকারী ওয়েবসাইটে পরিবর্তন আনতে পারে, যেমন ফর্ম সাবমিশন, টাকার স্থানান্তর বা অ্যাকাউন্টের সেটিং পরিবর্তন।

CSRF আক্রমণ সাধারণত ইউজারের সক্রিয় সেশন এবং কুকি ব্যবহার করে অবৈধ অনুরোধ করতে পারে, যা সার্ভার বৈধ মনে করে এবং অনুমোদন দেয়।

CSRF আক্রমণের কাজের পদ্ধতি

CSRF আক্রমণ সাধারণত কয়েকটি ধাপে ঘটে:

  1. ইউজার লগইন অবস্থায় থাকে: ইউজার ওয়েব অ্যাপ্লিকেশনে লগইন থাকে এবং একটি বৈধ সেশন রয়েছে, যেমন একটি কুকি।
  2. ম্যালিসিয়াস ওয়েবসাইটে প্রবেশ: ইউজার একটি আক্রমণকারী ওয়েবসাইটে যান যা তাদের ব্রাউজারে অনুপস্থিত থাকে।
  3. ম্যালিসিয়াস রিকোয়েস্ট তৈরি: আক্রমণকারী ওয়েবসাইট ইউজারের ব্রাউজারের মাধ্যমে বৈধ ওয়েব অ্যাপ্লিকেশনের সাথে একটি অনুরোধ পাঠায়। উদাহরণস্বরূপ, টাকার স্থানান্তর বা অ্যাকাউন্টের সেটিং পরিবর্তন।
  4. সার্ভার এটি বৈধ মনে করে: কারণ ইউজারের ব্রাউজারে বৈধ কুকি থাকে, সার্ভার এটি একটি বৈধ অনুরোধ হিসেবে গ্রহণ করে এবং কার্যকর করে।

CSRF প্রতিরোধের কৌশল

১. CSRF টোকেন ব্যবহার করা

CSRF আক্রমণ প্রতিরোধের জন্য একটি সুরক্ষিত পদ্ধতি হল CSRF টোকেন ব্যবহার করা। এটি একটি র্যান্ডম এবং এক্সপায়ারিং টোকেন, যা সার্ভার থেকে জেনারেট করা হয় এবং ইউজারের ফর্ম বা অনুরোধে যুক্ত করা হয়। যখন ব্যবহারকারী ফর্ম সাবমিট করেন, তখন এই টোকেনটি সার্ভারে যাচাই করা হয়। যদি টোকেনটি সঠিক না হয়, তাহলে অনুরোধটি প্রত্যাখ্যান করা হয়।

কিভাবে CSRF টোকেন কাজ করে?
  1. টোকেন তৈরি করা: যখন ব্যবহারকারী প্রথমবার পেজটি লোড করেন, তখন সার্ভার একটি সুরক্ষিত CSRF টোকেন তৈরি করে এবং এটি HTML ফর্মের সাথে ইনজেক্ট করে।
  2. টোকেন পাঠানো: ব্যবহারকারী ফর্মটি সাবমিট করার সময়, টোকেনটি ফর্মের সাথে পাঠানো হয়।
  3. টোকেন যাচাই করা: সার্ভার প্রাপ্ত টোকেন যাচাই করে। যদি টোকেন সঠিক না হয়, সার্ভার অনুরোধটি প্রত্যাখ্যান করে।
<form method="POST" action="/transfer-money">
  <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
  <!-- অন্যান্য ফর্ম ফিল্ড -->
  <button type="submit">Transfer</button>
</form>

এখানে, csrf_token হল সার্ভার দ্বারা জেনারেট করা একটি এক্সপায়ারিং র্যান্ডম টোকেন।

২. SameSite কুকি পলিসি

SameSite কুকি পলিসি CSRF আক্রমণ প্রতিরোধে কার্যকর। এই পলিসিটি নিশ্চিত করে যে কুকি শুধুমাত্র সেই ডোমেইন থেকে পাঠানো হবে যেখান থেকে অনুরোধ এসেছে। এর মানে হলো, আপনি যখন অন্য একটি ওয়েবসাইট থেকে আপনার অ্যাপ্লিকেশনটিতে কোনো রিকোয়েস্ট করবেন, তখন কুকি পাঠানো হবে না।

SameSite কুকি পলিসি তিনটি ধরনের হতে পারে:

  • Strict: কুকি শুধুমাত্র সেই ডোমেইন থেকে পাঠানো হবে যেখানে কুকি সেট করা হয়েছে।
  • Lax: কিছু নির্দিষ্ট শর্তে কুকি পাঠানো হবে (যেমন, GET রিকোয়েস্ট)।
  • None: কুকি ক্রস-সাইট অনুরোধের জন্যও পাঠানো হবে (তবে এই ক্ষেত্রে Secure ফ্ল্যাগও সেট করতে হবে)।
Set-Cookie: sessionId=abc123; SameSite=Strict; Secure;

এখানে, SameSite=Strict কুকি কেবলমাত্র সেই ডোমেইন থেকে পাঠানো হবে যেখানে এটি সৃষ্ট হয়েছিল।

৩. Referrer-Policy ব্যবহার করা

Referrer-Policy হেডার ব্যবহার করে আপনি নিয়ন্ত্রণ করতে পারেন যে ব্রাউজার কোন রেফারার তথ্য (যেমন, ইউআরএল) সার্ভারে পাঠাবে। এই পলিসি CSRF আক্রমণ প্রতিরোধে সহায়ক হতে পারে।

Referrer-Policy: no-referrer-when-downgrade

এটি নিশ্চিত করে যে কেবল HTTPS থেকে HTTPS অনুরোধ পাঠানো হবে এবং HTTP থেকে HTTPS রিকোয়েস্টে রেফারার ডাটা পাঠানো হবে না।

৪. আইডেন্টিটি ভেরিফিকেশন

ব্যবহারকারী যদি কোনও সংবেদনশীল বা গুরুত্বপূর্ণ অ্যাকশন (যেমন, অ্যাকাউন্ট সেটিং পরিবর্তন বা ফান্ড ট্রান্সফার) সম্পাদন করেন, তবে তার আইডেন্টিটি যাচাই করা গুরুত্বপূর্ণ। এর জন্য OTP (One Time Password) বা পাসওয়ার্ড পুনঃপ্রমাণীকরণ ব্যবহার করা যেতে পারে।

  • OTP: ইমেইল বা ফোনের মাধ্যমে এককালীন পাসওয়ার্ড পাঠানো হয়, যা শুধুমাত্র নির্দিষ্ট সময়ের মধ্যে ব্যবহৃত হতে পারে।
  • পাসওয়ার্ড পুনঃপ্রমাণীকরণ: ব্যবহারকারীকে তাদের পাসওয়ার্ড পুনরায় প্রদান করতে বলা হয়।

৫. ক্লায়েন্ট সাইড রিকোয়েস্ট যাচাই

ক্লায়েন্ট সাইডে (যেমন, ব্রাউজারে) JavaScript ব্যবহার করে আপনি নিশ্চিত করতে পারেন যে কোন অনুরোধ CSRF আক্রমণের মাধ্যমে এসেছে কিনা। যদিও এটি সম্পূর্ণ নিরাপদ নয়, তবে এটি কিছু ক্ষেত্রে অতিরিক্ত নিরাপত্তা প্রদান করতে পারে।

const csrfToken = document.querySelector('meta[name="csrf-token"]').getAttribute('content');

fetch('/transfer-money', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-Token': csrfToken
  },
  body: JSON.stringify({ amount: 100 })
});

এখানে, CSRF টোকেন ক্লায়েন্ট সাইডে একটি meta ট্যাগ থেকে নেয়া হয়েছে এবং সেটি রিকোয়েস্টে পাঠানো হচ্ছে।

সারাংশ

CSRF (Cross-Site Request Forgery) একটি ক্ষতিকর আক্রমণ যা ওয়েব অ্যাপ্লিকেশনের নিরাপত্তাকে বিপন্ন করতে পারে, বিশেষত যখন ব্যবহারকারী ইতিমধ্যে লগইন অবস্থায় থাকে। তবে, সঠিক প্রতিরোধমূলক কৌশলগুলি যেমন CSRF টোকেন, SameSite কুকি পলিসি, Referrer-Policy, এবং আইডেন্টিটি ভেরিফিকেশন প্রয়োগ করে এই আক্রমণকে প্রতিরোধ করা সম্ভব। এই নিরাপত্তা ব্যবস্থাগুলি ব্যবহারকারীর সেশন এবং ওয়েব অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে গুরুত্বপূর্ণ ভূমিকা পালন করে।

Content added By
Md Zahid Hasan

Read more

সিকিউরিটির গুরুত্ব এবং সাধারণ আক্রমণ SQL ইনজেকশন এবং XSS থেকে সুরক্ষা ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন HTTPS এবং SSL/TLS সেটআপ

or

Don't have an account? Register

Promotion
NEW SATT AI এখন আপনাকে সাহায্য করতে পারে।

Satt AI

Are you sure to start over?