Politica de referente (Referrer Policy)
¿Qué es Politica de referente (Referrer Policy)?
Politica de referente (Referrer Policy)Cabecera HTTP (o meta tag) que controla cuanta informacion de la URL de origen envia el navegador en la cabecera Referer al hacer peticiones salientes.
La cabecera Referrer-Policy permite a un sitio limitar la informacion filtrada en la cabecera Referer cuando los usuarios hacen clic en enlaces, cargan subrecursos o navegan. Sin restricciones, URL completas (incluidos tokens, identificadores o datos personales en los parametros) pueden enviarse a servidores de terceros, analiticas y redes publicitarias. Los valores van desde no-referrer hasta strict-origin-when-cross-origin y unsafe-url. El valor por defecto actual en Chromium y Firefox es strict-origin-when-cross-origin. Definir una politica explicita y restrictiva es un control de privacidad y prevencion de fugas de bajo coste.
● Ejemplos
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
Eliminar tokens de sesion que se filtraban por Referer hacia scripts publicitarios incrustados.
● Preguntas frecuentes
¿Qué es Politica de referente (Referrer Policy)?
Cabecera HTTP (o meta tag) que controla cuanta informacion de la URL de origen envia el navegador en la cabecera Referer al hacer peticiones salientes. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Politica de referente (Referrer Policy)?
Cabecera HTTP (o meta tag) que controla cuanta informacion de la URL de origen envia el navegador en la cabecera Referer al hacer peticiones salientes.
¿Cómo funciona Politica de referente (Referrer Policy)?
La cabecera Referrer-Policy permite a un sitio limitar la informacion filtrada en la cabecera Referer cuando los usuarios hacen clic en enlaces, cargan subrecursos o navegan. Sin restricciones, URL completas (incluidos tokens, identificadores o datos personales en los parametros) pueden enviarse a servidores de terceros, analiticas y redes publicitarias. Los valores van desde no-referrer hasta strict-origin-when-cross-origin y unsafe-url. El valor por defecto actual en Chromium y Firefox es strict-origin-when-cross-origin. Definir una politica explicita y restrictiva es un control de privacidad y prevencion de fugas de bajo coste.
¿Cómo defenderse de Politica de referente (Referrer Policy)?
Las defensas contra Politica de referente (Referrer Policy) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- appsec№ 496
Cabeceras de seguridad HTTP
Cabeceras de respuesta que instruyen a los navegadores a aplicar comportamientos defensivos como HTTPS obligatorio, restricciones de marco, políticas de contenido y control de referer.
- appsec№ 214
Política de Seguridad de Contenidos (CSP)
Cabecera HTTP que indica al navegador qué orígenes de scripts, estilos, marcos y otros recursos están permitidos, limitando el impacto de XSS y de inyecciones de datos.
- appsec№ 960
Política del mismo origen (SOP)
Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.
- appsec№ 223
CORS (Intercambio de Recursos entre Orígenes)
Mecanismo aplicado por el navegador que permite a un servidor relajar selectivamente la política del mismo origen para que JavaScript de un origen pueda leer respuestas de otro.
- appsec№ 983
Flag de cookie Secure
Atributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
- appsec№ 961
Cookie SameSite
Atributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.