跨域推荐泄漏

描述：跨域推荐泄漏

当Web浏览器beplay体育能用吗对资源的请求时，它通常会添加一个称为“referer”标题的HTTP标题，指示请求源自该请求的资源的URL。这发生在许多情况下，例如当网页加载图像或脚本时，或者当用户点击链接或提交表单时。beplay体育能用吗

如果正在请求的资源驻留在不同的域上，则引用标题仍然包含在跨域请求中。如果始发URL包含其查询字符串中的任何敏感信息，例如会话令牌，则此信息将被发送到其他域。如果其他域不完全由应用程序完全信任，那么这可能会导致安全妥协。

您应该审查传输到其他域的信息的内容，并确定这些域是否是由始发应用程序完全信任的。

今天的浏览器可以在某些情况下扣留参考标题（例如，从加载HTTPS加载的页面时，或发出刷新指令时），但不应依赖此行为来保护此行为源自披露的URL。

另请注意，如果用户可以在应用程序中作者内容，则攻击者可能能够引用它们控制的域的链接，以便从应用程序中使用的URL捕获数据。

修复：跨域推荐泄漏

应用程序永远不应在URL查询字符串中传输任何敏感信息。除了在推荐标题中泄漏之外，可以在各个位置登录这样的信息，并且可以在屏幕上可见到不受信任的方。如果在URL中放置敏感信息是不可避免的，请考虑使用推荐策略HTTP标题来减少它被披露给第三方的可能性。

参考

• 参考政策
• beplay体育能用吗Web安全学院：信息披露

漏洞分类

• CWE-200：信息曝光

典型的严重性

信息

类型索引（十六进制）

0x00500400.

类型索引（十进制）

5243904