Quali rischi vengono introdotti dal browser passando il "referer" al prossimo sito visitato da un collegamento a un altro dominio?

Why is this considered acceptable?

Non è considerato accettabile da tutti. È uno scarso compromesso tra privacy e utilità che viene visto da molti come un errore storico.

In other words, why isn't the Referer header subject to a cross-domain policy?

Referer precede l'introduzione di JavaScript da parte di Netscape e lo stesso criterio di origine fornito con esso. Il web era un posto molto diverso allora, prevalentemente documenti statici pubblici e poca interazione. In questo ambiente c'era poca prospettiva di un URL contenente qualcosa di privato, e sembrava utile lasciare che gli autori del web sapessero esattamente quali documenti erano collegati ai loro, nello spirito di citazione aperta.

Anche in questo caso significativamente non c'erano i cookie. Quindi se il tuo browser ha detto al sito A che sei venuto dal sito B, c'era molto poco che il sito A potesse fare con quelle informazioni. Non è stato possibile individuare un cookie precedentemente piantato per legare le informazioni del referente con qualsiasi altra cosa che sapeva di ciò che avevi fatto in passato, e certamente non poteva permettere che i cookie di terze parti diffondessero tali informazioni per generare una croce a lungo termine -profilo di tracciamento del sito come fanno i Googles di oggi.

Solo quando il set di funzionalità della moderna "webapp" si è riunito, compresi script, cookie e frame, è risultato evidente che Referer era la cosa sbagliata da fare. Se fosse progettato oggi avremmo al massimo qualcosa di simile alla moderna intestazione Origin di CORS, che ha il compromesso leggermente più incline alla privacy di un nome di sito ma nessun percorso / query.

Tuttavia, un numero sufficiente di siti Web (incautamente) si basa su Referer che un singolo produttore di browser non può disabilitare facilmente la funzionalità senza influire negativamente sulla compatibilità per i propri utenti. Ciò rende molto difficile da risolvere.

Perché quando gli scienziati informatici hanno inventato il protocollo HTTP nei primi anni '90, hanno pensato che valesse la pena includere referer campo (nota che hanno persino scritto male il referrer di parole in inglese), così puoi monitorare chi sta collegando alle tue pagine web - forse vuoi ricambiare e linkare.

Viene inviato solo se segui un link da qualche parte; Ad esempio, se si copia o si digita un nuovo URL nella barra degli indirizzi, il campo Referer HTTP non verrà inviato. Dovresti notare che molti [tutti?] I browser invieranno comunque il campo referer anche quando navighi in privato, perché altrimenti potrebbero violare i siti web che controllano il campo del referer.

La politica della stessa origine che limita le richieste di dominio incrociato si riferisce solo alla limitazione dell'accesso al DOM, in particolare per proteggere cookie e javascript dall'essere in grado di controllare la pagina di qualcun altro se non specificamente consentito.

Le politiche relative al dominio incrociato riguardano il codice di esecuzione non compreso nel dominio attuale / controllo dei sottodomini - ad esempio, eseguendo il codice di qualcun altro. Questo è un problema di sicurezza.

L'invio del "referente" a un altro sito è una preoccupazione privacy . È possibile utilizzare un proxy o un componente aggiuntivo del browser per rimuovere le informazioni sui referral. Quindi sì, in generale questo dovrebbe essere un problema di privacy se si utilizza un browser vanilla senza proxy o plugin.

Le informazioni di riferimento hanno alcuni scopi utili, ad esempio, se si conosce l'URL del motore di ricerca, è possibile evidenziare i termini di ricerca nel documento per l'utente. Inoltre, costituisce una misura debole di restrizione dell'accesso, ma è certamente facile da falsificare . È una debole forma di protezione CSRF .

I riferimenti sono anche usati per prevenire "hotlinking" di risorse come le immagini. Se il referer della tua richiesta non corrisponde al dominio su cui è ospitata la risorsa, ti viene negato l'accesso.