未設置Referrer-Policy響應頭
風險描述:Web 服務器對于 HTTP 請求的響應頭中缺少 Referrer-Policy,這將導致瀏覽器提供的安全特性失效。 當用戶在瀏覽器上點擊一個鏈接時,會產生一個 HTTP 請求,用于獲取新的頁面內容,而在該請求的報頭中,會包含一個 Referrer,用以指定該請求是從哪個頁面跳轉頁來的,常被用于分析用戶來源等信息。但是也成為了一個不安全的因素,所以就有了 Referrer-Policy,用于過濾 Referrer 報頭內容,其可選的項有: no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url 漏洞危害: Web 服務器對于 HTTP 請求的響應頭中缺少 Referrer-Policy,這將導致瀏覽器提供的安全特性失效,更容易遭受 Web 前端黑客攻擊的影響。
解決方案:修改服務端程序,給 HTTP 響應頭加上 Referrer-Policy
上一篇:未設置Strict-Transp
下一篇:無X-Frame-Options
