Perché l'intestazione di Referer non usa "same-origin" per impostazione predefinita?

3

La stessa politica di origine è una parte importante del modello di sicurezza, quindi per impostazione predefinita è "attivata" per la maggior parte delle cose, ma per il referente non sembra essere così. Il predefinito per i browser sembra essere no-referrer-when-downgrade che in pratica è vicino a "sempre attivo", suppongo che tutti utilizzino TLS.

Probabilmente same-origin sarebbe una scelta più sicura in quanto non perderà i tuoi URL per la parte 3d?

Quindi mi chiedo se ci sia una buona ragione per questo?

Suppongo che sia troppo importante per la pubblicità o semplicemente lo fosse storicamente e nessuno vuole cambiarlo.

    
posta Ilya Chernomordik 20.11.2018 - 09:59
fonte

1 risposta

2

Referer è un'intestazione di richiesta HTTP molto vecchia che è molto più vecchia dell'idea di una politica dei referenti. Nel timore di rompere le cose, il comportamento predefinito è quello tradizionale, quasi sempre acceso. Mantenere il vecchio valore predefinito anche se considerato negativo è un tema che può essere visto con molti miglioramenti della sicurezza e della privacy nello sviluppo web, ad esempio con Content-Security-Policy (predefinito: consenti tutto, che rende possibile l'XSS) o i flag Cookie Secure (default non sicuro), HttpOnly (predefinito: può essere letto da JavaScript, rendendo possibile il furto di sessione utilizzando XSS possibile), SameSite (l'impostazione predefinita non sicura aiuta con CSRF) ecc.

    
risposta data 20.11.2018 - 20:11
fonte

Leggi altre domande sui tag