HTTP Request Header Origin Explained

रिक्वेस्ट हेडर Origin: https://example.com क्रॉस-ऑरिजिन रिक्वेस्ट (CORS) के लिए रिक्वेस्ट की उत्पत्ति (origin) बताता है। इसको समझते हैं


Origin रिक्वेस्ट हेडर HTTP में क्लाइंट द्वारा भेजा जाता है ताकि यह बताया जा सके कि रिक्वेस्ट किस उत्पत्ति (origin) से शुरू हुई है। यह विशेष रूप से क्रॉस-ऑरिजिन रिसोर्स शेयरिंग (CORS) के संदर्भ में महत्वपूर्ण है, क्योंकि यह सर्वर को यह तय करने में मदद करता है कि रिक्वेस्ट को स्वीकार करना है या अस्वीकार करना है। आइए इसे संक्षेप में और स्पष्ट रूप से समझें कि Origin हेडर क्या है, इसका उपयोग कैसे होता है, और CORS में इसकी भूमिका क्या है।

Origin हेडर क्या है?

परिभाषा: Origin हेडर उस डोमेन (या URL की उत्पत्ति) को दर्शाता है, जहां से रिक्वेस्ट शुरू हुई है। यह आमतौर पर ब्राउज़र द्वारा स्वचालित रूप से जोड़ा जाता है, जब कोई वेबपेज किसी अन्य डोमेन पर संसाधन (जैसे API, इमेज, स्क्रिप्ट) के लिए रिक्वेस्ट भेजता है।

प्रारूप: Origin: <scheme>://<host>[:<port>]

scheme: प्रोटोकॉल (जैसे http, https)।

host: डोमेन नाम (जैसे example.com)।

port (वैकल्पिक): अगर गैर-मानक पोर्ट हो (जैसे :8080)।

  • उदाहरण:
  • Origin: https://example.com
    • इसका मतलब है कि रिक्वेस्टhttps://example.com से शुरू हुई है।

 

Origin हेडर का उपयोग

कब भेजा जाता है?

Origin हेडर मुख्य रूप से क्रॉस-ऑरिजिन रिक्वेस्ट में शामिल होता है, यानी जब एक वेबपेज (जैसे https://example.com) किसी भिन्न डोमेन (जैसे https://api.example.org) से संसाधन मांगता है।

यह कुछ HTTP मेथड्स के साथ स्वचालित रूप से जोड़ा जाता है:

  1. POSTPUTDELETE जैसे मेथड्स।
  2. GET या HEAD रिक्वेस्ट, अगर वे CORS-संबंधित हैं (जैसे AJAX कॉल में fetch या XMLHttpRequest)।
  3. प्रीफ़्लाइट रिक्वेस्ट (CORS preflight, OPTIONS मेथड) में भी Origin हेडर अनिवार्य होता है।

 

कब नहीं भेजा जाता?

अगर रिक्वेस्ट सेम-ऑरिजिन है (यानी एक ही डोमेन, जैसे https://example.com से https://example.com/api), तो ब्राउज़र आमतौर पर Origin हेडर नहीं जोड़ता।

कुछ गैर-CORS रिक्वेस्ट (जैसे <img> टैग या <script> टैग के लिए) में भी यह शामिल नहीं हो सकता।

CORS क्या है?

क्रॉस-ऑरिजिन रिसोर्स शेयरिंग (CORS) एक सुरक्षा तंत्र है, जो ब्राउज़र में लागू होता है। यह नियंत्रित करता है कि एक डोमेन से शुरू हुई रिक्वेस्ट किसी अन्य डोमेन के संसाधनों तक पहुंच सकती है या नहीं।

समस्या: ब्राउज़र की सेम-ऑरिजिन पॉलिसी (Same-Origin Policy) डिफ़ॉल्ट रूप से क्रॉस-ऑरिजिन रिक्वेस्ट को प्रतिबंधित करती है, ताकि दुर्भावनापूर्ण स्क्रिप्ट्स अनधिकृत डेटा न पढ़ सकें।

CORS का समाधान: CORS सर्वर को यह अनुमति देता है कि वह स्पष्ट रूप से बताए कि कौन से डोमेन (origins) उसके संसाधनों तक पहुंच सकते हैं।

Origin हेडर की भूमिका CORS में

क्लाइंट की ओर:

जब कोई वेबपेज क्रॉस-ऑरिजिन रिक्वेस्ट भेजता है, तो ब्राउज़र स्वचालित रूप से Origin हेडर जोड़ता है। उदाहरण:

GET /api/data HTTP/1.1

Host: api.example.org

Origin: https://example.com

यह बताता है कि रिक्वेस्ट https://example.com से शुरू हुई है और api.example.org से डेटा मांग रही है।

सर्वर की ओर:

सर्वर Origin हेडर को पढ़ता है और यह तय करता है कि रिक्वेस्ट की उत्पत्ति (origin) को संसाधन तक पहुंच दी जाए या नहीं।

सर्वर रिस्पांस में Access-Control-Allow-Origin हेडर शामिल करता है, जो अनुमत डोमेन बताता है:

उदाहरण 1: अगर सर्वर https://example.com को अनुमति देता है:

Access-Control-Allow-Origin: https://example.com

  • ब्राउज़र रिस्पांस को स्वीकार करता है।

उदाहरण 2: अगर सर्वर सभी डोमेन को अनुमति देता है:

Access-Control-Allow-Origin: *

  • कोई भी डोमेन रिस्पांस पढ़ सकता है (केवल गैर-प्रमाणित रिक्वेस्ट के लिए)।

उदाहरण 3: अगर सर्वर Origin को अनुमति नहीं देता: कोई Access-Control-Allow-Origin हेडर नहीं भेजा जाता, और ब्राउज़र रिक्वेस्ट को ब्लॉक कर देता है (CORS एरर)।


प्रीफ़्लाइट रिक्वेस्ट

जटिल रिक्वेस्ट (जैसे POST JSON डेटा के साथ) से पहले, ब्राउज़र एक OPTIONS रिक्वेस्ट (प्रिफ़्लाइट) भेजता है, जिसमें Origin हेडर शामिल होता है:

OPTIONS /api/data HTTP/1.1

Host: api.example.org

Origin: https://example.com

Access-Control-Request-Method: POST

Access-Control-Request-Headers: Content-Type

  • सर्वर जवाब देता है कि क्या यह रिक्वेस्ट स्वीकार्य है:

HTTP/1.1 200 OK

Access-Control-Allow-Origin: https://example.com

Access-Control-Allow-Methods: GET, POST

Access-Control-Allow-Headers: Content-Type

  • अगर अनुमति मिलती है, तो वास्तविक रिक्वेस्ट भेजा जाता है।

Origin हेडर की विशेषताएं

स्वचालित: ब्राउज़र इसे स्वयं जोड़ता है; डेवलपर को मैन्युअल रूप से सेट करने की जरूरत नहीं।

सुरक्षा: यह सर्वर को यह जांचने में मदद करता है कि रिक्वेस्ट विश्वसनीय डोमेन से है या नहीं, जिससे अनधिकृत पहुंच (जैसे CSRF हमले) को रोका जा सके।

पोर्ट शामिलता: अगर डोमेन गैर-मानक पोर्ट (जैसे :8080) पर है, तो वह Origin में शामिल होता है। उदाहरण: Origin: https://example.com:8080।

नल (null) मान:

कुछ मामलों में (जैसे लोकल फ़ाइल से रिक्वेस्ट या सैंडबॉक्स्ड iframe), Origin: null हो सकता है।

यह असामान्य है और अक्सर सर्वर द्वारा अस्वीकार किया जाता है।

उदाहरण: CORS में Origin का उपयोग

परिदृश्य: वेबपेज https://example.com एक AJAX कॉल करता है https://api.example.org/data पर।

क्लाइंट रिक्वेस्ट:

GET /data HTTP/1.1

Host: api.example.org

Origin: https://example.com

सर्वर रिस्पांस (अनुमति):

HTTP/1.1 200 OK

Access-Control-Allow-Origin: https://example.com

Content-Type: application/json

{"message": "Success"}

ब्राउज़र रिस्पांस को स्वीकार करता है, और जावास्क्रिप्ट डेटा पढ़ सकता है।

 

सर्वर रिस्पांस (अस्वीकार):

HTTP/1.1 200 OK

Content-Type: application/json

{"message": "Success"}

कोई Access-Control-Allow-Origin नहीं है, इसलिए ब्राउज़र रिस्पांस को ब्लॉक करता है, और जावास्क्रिप्ट को CORS एरर मिलता है।

आधुनिक संदर्भ

  • CORS का व्यापक उपयोग: CORS आजकल वेब डेवलपमेंट में आम है, क्योंकि API और माइक्रोसर्विसेज़ अलग-अलग डोमेन पर होस्ट किए जाते हैं।
  • सुरक्षा: Originहेडर और CORS नीतियां मिलकर यह सुनिश्चित करती हैं कि केवल अधिकृत डोमेन ही संवेदनशील डेटा तक पहुंच सकें।
  • वाइल्डकार्ड (*): Access-Control-Allow-Origin: *का उपयोग सार्वजनिक API के लिए होता है, लेकिन यह प्रमाणित रिक्वेस्ट (जैसे कुकीज़ या टोकन के साथ) के लिए काम नहीं करता।
  • HTTP/2 और HTTP/3: Originहेडर का उपयोग और अर्थ वही रहता है, लेकिन HTTP/2 में हेडर कम्प्रेशन (HPACK) के कारण यह अधिक कुशल होता है।

 

संक्षेप में

  • Origin: https://example.comबताता है कि रिक्वेस्ट https://example.com से शुरू हुई है। यह CORS के लिए महत्वपूर्ण है, क्योंकि यह सर्वर को रिक्वेस्ट की उत्पत्ति की जानकारी देता है।
  • CORS में भूमिका: सर्वरOrigin हेडर को पढ़कर यह तय करता है कि रिक्वेस्ट को अनुमति देनी है या नहीं, और Access-Control-Allow-Origin हेडर के साथ जवाब देता है।
  • प्रक्रिया: ब्राउज़र स्वचालित रूप सेOrigin जोड़ता है, और सर्वर इसे जांचकर संसाधन तक पहुंच को नियंत्रित करता है। अगर Origin अनुमत नहीं है, तो ब्राउज़र रिस्पांस को ब्लॉक करता है।
  • सुरक्षा: यह अनधिकृत क्रॉस-डोमेन रिक्वेस्ट को रोकता है, जिससे वेब सुरक्षित रहता है।

अगर आपको Origin हेडर, CORS, या किसी खास पहलू (जैसे प्रीफ़्लाइट रिक्वेस्ट, सुरक्षा प्रभाव) पर और विस्तार चाहिए, तो पूछें, मैं और स्पष्ट करूंगा!

 

टिप्पणियाँ

एक टिप्पणी भेजें

इस ब्लॉग से लोकप्रिय पोस्ट

Differences between in-process and out-of-process hosting models

ASP.NET Core: इन-प्रोसेस और आउट-ऑफ-प्रोसेस होस्टिंग मॉडल में अंतर ASP.NET Core में सेल्फ-होस्टिंग मॉडल और आउट-प्रोसेस होस्टिंग मॉडल दो अलग-अलग तरीके हैं जिनका उपयोग आप अपने वेब एप्लिकेशन को होस्ट करने के लिए कर सकते हैं। सेल्फ-होस्टिंग मॉडल सेल्फ-होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन अपने आप में एक वेब सर्वर की भूमिका निभाता है। इसका मतलब है कि एप्लिकेशन अपने आप HTTP रिक्वेस्ट को सीधे हैंडल करता है और उन्हें प्रोसेस करता है। सेल्फ-होस्टिंग के लिए Kestrel नामक एक क्रॉस-प्लेटफ़ॉर्म वेब सर्वर का उपयोग किया जाता है। आउट-प्रोसेस होस्टिंग मॉडल आउट-प्रोसेस होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन एक अलग प्रोसेस में चलता है, और एक बाहरी वेब सर्वर (जैसे कि आईआईएस या एनजिनएक्स) HTTP रिक्वेस्ट को प्राप्त करता है और उन्हें एप्लिकेशन को फॉरवर्ड करता है। इस मॉडल में, एप्लिकेशन और वेब सर्वर अलग-अलग प्रोसेस में चलते हैं। अब इनके बारे में विस्तार से समझते हैं - 1. इन-प्रोसेस होस्टिंग (In-Process Hosting) कार...
Read more »

Web Fundamental Concepts in Hindi for Beginners - FAQs with their Answers Part-1

List of Consolidated Questions Question 1. वेब एप्लीकेशन को होस्ट करने की आवश्यकता होती है जबकि डेस्कटॉप एप्लीकेशन के साथ ऐसा नहीं होता है ऐसा क्यों? Question 2. वेब एप्लीकेशन को होस्ट करने के लिए एक वेब सर्वर की जरूरत होती है क्यों? इसके अलावा वेब एप्लीकेशन को डाटाबेस सर्वर की भी आवश्यकता पड़ती है क्यों? Question 3. वेब सर्वर के अलावा और किन-किन प्रकार के सर्वर की आवश्यकता वेब एप्लीकेशन को पड़ती है? Question 4. एक वेब एप्लीकेशन को एक से अधिक सर्वर पर कई बार क्यों होस्ट किया जाता है? Question 5. वेब एप्लीकेशन और वेब सेवा में क्या अंतर है या दोनों एक ही चीज है? Question 6. क्या यह सच है कि एक वेब एप्लीकेशन एक या एक से अधिक वेब सेवाओं का उपयोग कर सकता है? Question 7. वेब एप्लीकेशन के संदर्भ में गेटवे क्या होता है? Question 8. ...
Read more »

Introduction to ASP.NET Core and Web Frameworks

वेब एप्लीकेशन और .NET Core का परिचय वेब एप्लीकेशन हर जगह उपलब्ध हैं, चाहे वह सोशल मीडिया हो या आपका फ़ोन; हर जगह आपको वेब एप्लीकेशन दिखाई देंगे। वेब एप्लीकेशन के पीछे की दुनिया सर्वर की दुनिया है। सर्वर पर कोई वेब एप्लीकेशन होस्ट किया जाता है, तत्पश्चात वेब एप्लीकेशन रन होता है। .NET Core को आधुनिक युग की आवश्यकताओं के अनुसार डिज़ाइन किया गया है। चाहे कोई साधारण सा वेबसाइट हो या कोई जटिल ई-कॉमर्स एप्लीकेशन अथवा डिस्ट्रीब्यूटेड माइक्रो सर्विसेज, एक बार जब आप .NET Core सीख जाते हैं तो इस तरह के कोई भी एप्लीकेशन आप बना सकते हैं। अब सवाल है कि .NET Core क्या है? ASP.NET Core माइक्रोसॉफ्ट का नया वेब फ्रेमवर्क है जिसकी सहायता से विभिन्न प्रकार के वेब एप्लीकेशन को बनाना बहुत ही सरल है। माइक्रोसॉफ्ट ने ASP.NET Core को जून 2016 में रिलीज़ किया था। इसके बाद निरंतर माइक्रोसॉफ्ट की टीम ने .NET Core में सुधार करके या अपग्रेड करके बाजार में नए-नए वर्जन जारी किए हैं. वेब फ्रेमवर्क क्या है? ...
Read more »