Interesting HTTP
Referrerヘッダーとポリシー
Referrerは、ブラウザが前に訪れたページを示すために使用するヘッダーです。
漏洩した機密情報
ウェブページ内のどこかでGETリクエストのパラメータに機密情報がある場合、ページに外部ソースへのリンクが含まれているか、攻撃者がユーザーに攻撃者がコントロールするURLを訪れるように仕向ける(ソーシャルエンジニアリング)ことができれば、最新のGETリクエスト内の機密情報を外部に流出させる可能性があります。
軽減策
ブラウザにReferrer-policyに従わせることで、機密情報が他のウェブアプリケーションに送信されるのを避けることができます:
対策回避
このルールはHTMLメタタグを使用して上書きすることができます(攻撃者はHTMLインジェクションを悪用する必要があります):
防御
URLのGETパラメーターやパス内に機密データを決して含めないでください。
Last updated