Aller au contenu

Insecure HTTP Header Setting: Insecure Referrer Policy

Paramètre d'en-tête HTTP non sécurisé : Insecure Referrer Policy

Description

La Referrer Policy contrôle le comportement de l'en-tête Referer, qui indique l'origine ou l'URL de la page web à partir de laquelle la requête a été effectuée. L'application web utilise une configuration non sécurisée de Referrer Policy qui pourrait divulguer des informations sur les utilisateurs à des sites tiers.

Recommandation

En fonction de vos besoins, envisagez l'une des configurations suivantes pour l'en-tête Referrer Policy :

  • Aucun référent (no-referrer) : Cette politique masque complètement l'URL de référence lors de la navigation vers une autre page. Il s'agit de l'option la plus respectueuse de la vie privée, mais elle pourrait compromettre certaines fonctionnalités dépendant du référent, telles que l'analytique ou les systèmes de connexion.

  • Origine uniquement (origin) : Cette politique n'envoie que l'origine (protocole + domaine + port) de la page de référence en tant que référent, à l'exclusion du chemin et des paramètres de requête. Elle offre un compromis entre la confidentialité et la fonctionnalité.

  • Même origine (same-origin) : Cette politique envoie l'URL complète en tant que référent lors de la navigation au sein de la même origine, mais n'envoie que l'origine lors de la navigation vers une origine différente. Elle maintient la confidentialité tout en autorisant les informations de référence au sein du même site.

  • Origine stricte lors de requêtes inter-origines (strict-origin-when-cross-origin) : Cette politique envoie l'URL complète comme référent lors de la navigation vers la même origine, mais n'envoie que l'origine lors de la navigation vers une origine différente via une connexion non sécurisée (HTTP vers HTTPS). Elle n'envoie aucune information de référent lors de la navigation d'une origine sécurisée vers une origine non sécurisée.

  • URL non sécurisée (unsafe-url) : Cette politique envoie l'URL complète, y compris le chemin et les paramètres de requête en tant que référent, que la destination se trouve ou non dans la même origine. C'est l'option qui préserve le moins la confidentialité.

Liens

Normes

  • OWASP_ASVS_L1:
    • V14_4_6
  • OWASP_ASVS_L2:
    • V14_4_6
  • OWASP_ASVS_L3:
    • V14_4_6
  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_6_2
    • REQ_6_3
    • REQ_6_4
    • REQ_11_3
  • HIPAA_CONTROLS:
    • SECURITY212
    • SECURITY213