跨域推荐泄漏
描述:跨域推荐泄漏
当Web浏览器beplay体育能用吗对资源的请求时,它通常会添加一个称为“referer”标题的HTTP标题,指示请求源自该请求的资源的URL。这发生在许多情况下,例如当网页加载图像或脚本时,或者当用户点击链接或提交表单时。beplay体育能用吗
如果正在请求的资源驻留在不同的域上,则引用标题仍然包含在跨域请求中。如果始发URL包含其查询字符串中的任何敏感信息,例如会话令牌,则此信息将被发送到其他域。如果其他域不完全由应用程序完全信任,那么这可能会导致安全妥协。
您应该审查传输到其他域的信息的内容,并确定这些域是否是由始发应用程序完全信任的。
今天的浏览器可以在某些情况下扣留参考标题(例如,从加载HTTPS加载的页面时,或发出刷新指令时),但不应依赖此行为来保护此行为源自披露的URL。
另请注意,如果用户可以在应用程序中作者内容,则攻击者可能能够引用它们控制的域的链接,以便从应用程序中使用的URL捕获数据。
修复:跨域推荐泄漏
应用程序永远不应在URL查询字符串中传输任何敏感信息。除了在推荐标题中泄漏之外,可以在各个位置登录这样的信息,并且可以在屏幕上可见到不受信任的方。如果在URL中放置敏感信息是不可避免的,请考虑使用推荐策略HTTP标题来减少它被披露给第三方的可能性。
参考
漏洞分类
典型的严重性
信息
类型索引(十六进制)
0x00500400.
类型索引(十进制)
5243904