Politique de referent (Referrer Policy)
Qu'est-ce que Politique de referent (Referrer Policy) ?
Politique de referent (Referrer Policy)En-tete HTTP (ou balise meta) qui controle la quantite d'information d'URL d'origine envoyee par le navigateur dans l'en-tete Referer.
L'en-tete Referrer-Policy permet a un site de limiter l'information divulguee dans Referer lorsque l'utilisateur clique sur des liens, charge des sous-ressources ou navigue. Sans restriction, des URL completes (avec tokens, identifiants ou donnees personnelles en query string) peuvent partir vers des serveurs tiers, des outils analytiques et des reseaux publicitaires. Les valeurs vont de no-referrer a strict-origin-when-cross-origin et unsafe-url. Le defaut actuel sur Chromium et Firefox est strict-origin-when-cross-origin. Definir une politique explicite et restrictive est un controle de confidentialite peu couteux.
● Exemples
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
Empecher la fuite de jetons de session via l'en-tete Referer vers des scripts publicitaires integres.
● Questions fréquentes
Qu'est-ce que Politique de referent (Referrer Policy) ?
En-tete HTTP (ou balise meta) qui controle la quantite d'information d'URL d'origine envoyee par le navigateur dans l'en-tete Referer. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Politique de referent (Referrer Policy) ?
En-tete HTTP (ou balise meta) qui controle la quantite d'information d'URL d'origine envoyee par le navigateur dans l'en-tete Referer.
Comment fonctionne Politique de referent (Referrer Policy) ?
L'en-tete Referrer-Policy permet a un site de limiter l'information divulguee dans Referer lorsque l'utilisateur clique sur des liens, charge des sous-ressources ou navigue. Sans restriction, des URL completes (avec tokens, identifiants ou donnees personnelles en query string) peuvent partir vers des serveurs tiers, des outils analytiques et des reseaux publicitaires. Les valeurs vont de no-referrer a strict-origin-when-cross-origin et unsafe-url. Le defaut actuel sur Chromium et Firefox est strict-origin-when-cross-origin. Definir une politique explicite et restrictive est un controle de confidentialite peu couteux.
Comment se défendre contre Politique de referent (Referrer Policy) ?
Les défenses contre Politique de referent (Referrer Policy) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- appsec№ 496
En-têtes de sécurité HTTP
En-têtes de réponse demandant au navigateur d'appliquer des comportements défensifs : HTTPS strict, restriction de framing, politiques de contenu, contrôle du referer.
- appsec№ 214
Politique de sécurité du contenu (CSP)
En-tête HTTP indiquant au navigateur quelles sources de scripts, styles, cadres et autres contenus sont autorisées, limitant l'impact des XSS et des injections de données.
- appsec№ 960
Politique de même origine (SOP)
Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.
- appsec№ 223
CORS (Partage de ressources entre origines)
Mécanisme appliqué par le navigateur permettant à un serveur d'assouplir sélectivement la politique de même origine pour que du JavaScript d'une origine puisse lire les réponses d'une autre.
- appsec№ 983
Drapeau de cookie Secure
Attribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
- appsec№ 961
Cookie SameSite
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.