La maggior parte dei sistemi di reimpostazione della password comporta l'invio tramite posta elettronica all'utente di un collegamento occasionale che consente di reimpostare la propria password. Il token deve trovarsi nell'URL, poiché la maggior parte dei client di posta elettronica non consente alle e-mail HTML di eseguire richieste POST e chiedere all'utente di ridigitare il token non è un'esperienza accettabile. Tuttavia, questo mette il token a rischio di perdita attraverso l'intestazione del referer.
Una possibile soluzione a questo è evitare qualsiasi collegamento esterno nella pagina di reimpostazione della password. Tuttavia, la maggior parte dei siti dispone di un modello standard che include collegamenti esterni (Facebook, Twitter, ecc.) E il mancato utilizzo di questo modello renderebbe la pagina strana e potenzialmente potrebbe far pensare agli utenti che si tratti di un sito di phishing.
Sembra che i produttori di browser siano a conoscenza di questo problema e alcuni browser supportano il tag meta referer, che può essere impostato su "mai", quindi l'URL non è mai trapelato. Tuttavia, non tutti i browser supportano questo tag, quindi non è una soluzione completa.
Quindi, come si crea un processo di reimpostazione della password che non presenta questa fuga?