Interesting HTTP
リファラーヘッダーとポリシー
リファラーは、ブラウザが前のページを示すために使用するヘッダーです。
漏洩した機密情報
Webページ内のGETリクエストパラメータに機密情報が含まれている場合、ページに外部ソースへのリンクが含まれている場合、または攻撃者がユーザーに攻撃者が制御するURLを訪れるように促すことができる場合、最新のGETリクエスト内に機密情報を外部に送信できる可能性があります。
緩和策
ブラウザにReferrer-policyに従わせることで、機密情報が他のWebアプリケーションに送信されるのを回避できます。
対策の無効化
HTMLメタタグを使用してこのルールをオーバーライドすることができます(攻撃者はHTMLインジェクションを悪用する必要があります):
防御
URLのGETパラメータやパスには、機密データを絶対に入れないでください。
Last updated