Ciò potrebbe dar luogo a una vulnerabilità legata alla perdita di informazioni.
Supponiamo che l'intero sito sia pubblicato su HTTPS, senza che il prefetching DNS sia disabilitato. Potrebbero esserci alcune pagine sul tuo sito che fanno riferimento ad altre risorse esterne.
Ad esempio, immagina un sito Web bancario a cui i clienti possano accedere e che la pagina per la gestione dei mutui abbia alcuni link esterni unici per quella pagina.
Con il prefetching DNS abilitato, una persona opportuna può intercettare che un utente ha un mutuo con quel particolare banco perché quando questa pagina viene visitata, le richieste DNS saranno osservate per risolvere gli host delle risorse esterne a cui fa riferimento quella pagina.
Naturalmente, se l'utente decide di visitare questi collegamenti manualmente, lo stesso potrebbe essere dedotto senza prefetch in questo caso. Tuttavia, con siti più complessi possono esserci combinazioni univoche di risorse su pagine diverse che danno via agli osservatori quali pagine della sessione altrimenti privata sono state visitate.
Se questa è una vulnerabilità di sicurezza effettiva o meno dipende molto dal contesto del sito web e dal posizionamento dei link. Un'altra soluzione invece di disabilitare sarebbe includere tutti o una selezione casuale di riferimenti esterni su ogni pagina usando
<link rel="dns-prefetch" href="//example.com" />
direttiva.