Se la mia pagina web restituisce X-DNS-Prefetch-Control=off , Chrome eseguirà il prefetch DNS per collegamenti come questi?:
<link rel="dns-prefetch" href="http://www.spreadfirefox.com/">
So che Firefox e Chromium rispettano questa intestazione, ma non sono sicuro che anche Chrome funzioni.
Mi sto chiedendo perché vorrei disabilitare il prefetching DNS su determinate pagine sicure sul mio sito web per proteggermi da questo tipo di vulnerabilità: link
Rispondere alla mia stessa domanda dopo alcuni esperimenti:
La mia pagina contiene un collegamento che esegue il prefetching DNS in un dominio arbitrario:
<head>
<meta charset="utf-8" />
<link rel="dns-prefetch" href="http://aaaaaaaaaaa@(new Random().Next(11111)).ba@(new Random().Next(11111)).com">
Ho impostato l'intestazione X-DNS-Prefetch-Control su "off" e ho aggiunto un < meta > tag per essere più sicuro:
Sfortunatamente,chromeesegueancoraunachiamataDNSaqueldominio,ancheconunarigorosapoliticadisicurezzadeicontenuti.
Criterio di sicurezza del contenuto della mia pagina che non consente le chiamate a nessun dominio esterno:
Content-Security-Policy:default-src 'self'; img-src 'self'; form-action 'self';
Quindi sembra che Chrome non rispetti l'intestazione X-DNS-Prefetch-Control. Sto utilizzando Chrome v64.0.3282.167
Leggi altre domande sui tag chrome dns web-application content-security-policy dns-prefetch