Saltar a contenido

Insecure HTTP Header Setting: Insecure Referrer Policy

Configuración insegura de la cabecera HTTP: Insecure Referrer Policy

Descripción

Referrer Policy controla el comportamiento de la cabecera Referer, la cual indica el origen o la URL de la página web desde la que se realizó la solicitud. La aplicación web utiliza una configuración insegura de Referrer Policy que puede filtrar información del usuario a sitios de terceros.

Recomendación

Dependiendo de sus necesidades, considere una de las siguientes configuraciones para la cabecera Referrer Policy:

  • Sin referente (no-referrer): Esta política oculta por completo la URL de referencia al navegar a otra página. Esta es la opción que más preserva la privacidad, pero podría interrumpir algunas funciones que dependen del referente, como los análisis o los sistemas de inicio de sesión.

  • Solo origen (origin): Esta política envía solo el origen (protocolo + dominio + puerto) de la página de referencia como referente, excluyendo la ruta y los parámetros de consulta. Esto logra un equilibrio entre la privacidad y la funcionalidad.

  • Mismo origen (same-origin): Esta política envía la URL completa como referente al navegar dentro del mismo origen, pero solo envía el origen al navegar a un origen diferente. Esto mantiene la privacidad al tiempo que permite información de referencia dentro del mismo sitio.

  • Origen estricto cuando es de origen cruzado (strict-origin-when-cross-origin): Esta política envía la URL completa como referente al navegar al mismo origen, pero solo envía el origen al navegar a un origen diferente a través de una conexión no segura (HTTP a HTTPS). No envía ninguna información de referente al navegar de un origen seguro a un origen no seguro.

  • URL insegura (unsafe-url): Esta política envía la URL completa, incluyendo la ruta y los parámetros de consulta como referente, independientemente de si el destino se encuentra o no dentro del mismo origen. Esta es la opción que menos preserva la privacidad.

Enlaces

Estándares

  • OWASP_ASVS_L1:
    • V14_4_6
  • OWASP_ASVS_L2:
    • V14_4_6
  • OWASP_ASVS_L3:
    • V14_4_6
  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_6_2
    • REQ_6_3
    • REQ_6_4
    • REQ_11_3
  • HIPAA_CONTROLS:
    • SECURITY212
    • SECURITY213