HTTP / S - Richieste cross-site HTTP / S: che cosa sanno i siti Web di terze parti a proposito del luogo di riferimento dei loro oggetti?

1

Esistono quattro combinazioni generali di richieste cross-site per quanto riguarda la sicurezza, e voglio sapere se ysite.com , in ogni caso, sa che il motivo per cui ho scaricato una delle sue risorse era perché stavo visitando l'URL specifico a cui si faceva riferimento ( xsite.com/page.html ), o se non l'URL specifico, il sito / dominio forse:

  1. Visito https://xsite.com/page.html . Fa riferimento a https://ysite.com/library.js .
  2. Visito https://xsite.com/page.html . Fa riferimento a http://ysite.com/image.jpg .
  3. Visito http://xsite.com/page.html . Fa riferimento a https://ysite.com/library.js .
  4. Visito http://xsite.com/page.html . Fa riferimento a http://ysite.com/image.jpg .

E nei casi sopra in cui ysite.com non può sapere quale sito / URL stavo navigando per scaricare la sua risorsa - non apparirà diverso se ho scaricato direttamente l'immagine o il file js dalla stessa barra degli indirizzi del browser, quando si tratta dei log del server del proprio sito? Apparirà diverso in altri modi rispetto all'incorporazione su un altro sito Web, a causa delle sottigliezze della differenza di temporizzazione TCP, delle informazioni dell'intestazione HTTP (o della mancanza di esso) nella richiesta HTTP (o addirittura della mancanza di determinate intestazioni HTTP nella richiesta GET?) o eventuali altre differenze nell'interazione tra trasporto o livello applicazione che potevano vedere sul loro server?

Di certo, è se i siti possono impedire il collegamento diretto di immagini tramite url da domini HTTPS esterni. Se possibile, suppongo che gli URL dei siti HTTPS possano essere divulgati ai server Web di oggetti di terzi, a meno che il loro metodo per bloccare l'hotlinking HTTPS sia un modo che impedisce ALSO l'accesso diretto all'immagine SENZA essere indirizzata da un URL dal server web dell'immagine.

    
posta 10.01.2015 - 16:50
fonte

2 risposte

1

È la maggior parte dipendente dal browser , ma come da RFC, il caso 2 non dovrebbe avere l'intestazione Referer . In tutti gli altri casi, RFC afferma che potrebbe essere incluso a meno che l'utente non abbia configurato alcuna impostazione di privacy (come la navigazione privata).

Quindi nei casi 1, 3 e 4, ysite otterrebbe probabilmente l'intero referente xsite.com/page.html e nel caso 2, (probabilmente) non otterrà alcuna informazione.

Per questo motivo, la maggior parte dei siti di CDN, pubblicità e / o analisi hanno un javascript che consente loro di riscrivere i loro collegamenti in modo che corrispondano allo stesso protocollo (http / https) della pagina di riferimento.

    
risposta data 10.01.2015 - 20:02
fonte
0

Credo che la risposta alla tua domanda sia che i controlli di scripting cross-site sono applicati a livello di browser, non a livello di sito, quindi non importa da dove pensi che il download provenga - importa che il browser che xsite caricato sa che il carico di ysite proviene da un dominio diverso.

    
risposta data 10.01.2015 - 17:58
fonte

Leggi altre domande sui tag