Политика реферера (Referrer Policy)
Что такое Политика реферера (Referrer Policy)?
Политика реферера (Referrer Policy)HTTP-заголовок ответа (или meta-тег), задающий, какую часть исходного URL браузер отправляет в заголовке Referer исходящих запросов.
Заголовок Referrer-Policy позволяет сайту ограничивать информацию, утекающую через Referer при клике по ссылкам, загрузке подресурсов и навигации. Без ограничений полные URL (включая токены, идентификаторы и персональные данные в параметрах) уходят к сторонним серверам, аналитике и рекламным сетям. Значения варьируются от no-referrer до strict-origin-when-cross-origin и unsafe-url. По умолчанию Chromium и Firefox используют strict-origin-when-cross-origin. Явная строгая политика — недорогая мера защиты приватности и предотвращения утечек.
● Примеры
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
Прекращение утечки сессионных токенов через Referer во встраиваемые рекламные скрипты.
● Частые вопросы
Что такое Политика реферера (Referrer Policy)?
HTTP-заголовок ответа (или meta-тег), задающий, какую часть исходного URL браузер отправляет в заголовке Referer исходящих запросов. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Политика реферера (Referrer Policy)?
HTTP-заголовок ответа (или meta-тег), задающий, какую часть исходного URL браузер отправляет в заголовке Referer исходящих запросов.
Как работает Политика реферера (Referrer Policy)?
Заголовок Referrer-Policy позволяет сайту ограничивать информацию, утекающую через Referer при клике по ссылкам, загрузке подресурсов и навигации. Без ограничений полные URL (включая токены, идентификаторы и персональные данные в параметрах) уходят к сторонним серверам, аналитике и рекламным сетям. Значения варьируются от no-referrer до strict-origin-when-cross-origin и unsafe-url. По умолчанию Chromium и Firefox используют strict-origin-when-cross-origin. Явная строгая политика — недорогая мера защиты приватности и предотвращения утечек.
Как защититься от Политика реферера (Referrer Policy)?
Защита от Политика реферера (Referrer Policy) обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- appsec№ 496
HTTP-заголовки безопасности
Заголовки ответа, инструктирующие браузер применять защитные меры: только HTTPS, ограничения встраивания, политики контента, контроль referrer.
- appsec№ 214
Политика безопасности контента (CSP)
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
- appsec№ 960
Политика одного источника (SOP)
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
- appsec№ 223
CORS (совместное использование ресурсов между источниками)
Механизм, обеспечиваемый браузером, позволяющий серверу выборочно ослабить политику одного источника, чтобы JavaScript одного домена мог читать ответы другого.
- appsec№ 983
Флаг куки Secure
Атрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети.
- appsec№ 961
Кука SameSite
Атрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.