Insecure HTTP Header Setting: Insecure Referrer Policy
安全でないHTTPヘッダー設定: Insecure Referrer Policy
説明
Referrer Policy は、リクエストが行われた送信元または Web ページの URL を示す Referer ヘッダーの動作を制御します。Webアプリケーションは安全でない Referrer Policy 構成を使用しており、ユーザー情報がサードパーティのサイトに漏洩する可能性があります。
推奨事項
要件に応じて、Referrer Policy ヘッダーに以下のいずれかの構成を検討してください:
-
リファラーなし (no-referrer): このポリシーは、別のページに遷移する際にリファラーURLを完全に隠蔽します。これは最もプライバシーを保護するオプションですが、アナリティクスやログインシステムなど、リファラーに依存する一部の機能が損なわれる可能性があります。
-
オリジンのみ (origin): このポリシーは、参照元ページのオリジン(プロトコル + ドメイン + ポート)のみをリファラーとして送信し、パスやクエリパラメータを除外します。これはプライバシーと機能のバランスを取るものです。
-
同一オリジン (same-origin): このポリシーは、同一オリジン内を遷移する場合は完全なURLをリファラーとして送信しますが、異なるオリジンに遷移する場合はオリジンのみを送信します。これにより、同一サイト内でのリファラー情報を許可しつつプライバシーを維持します。
-
クロスオリジン時の厳密なオリジン (strict-origin-when-cross-origin): このポリシーは、同一オリジンに遷移する場合は完全なURLをリファラーとして送信しますが、安全でない接続(HTTPからHTTPSへ)を介して異なるオリジンに遷移する場合はオリジンのみを送信します。安全なオリジンから安全でないオリジンへ遷移する場合はリファラー情報を送信しません。
-
安全でないURL (unsafe-url): このポリシーは、遷移先が同一オリジン内であるかどうかに関わらず、パスとクエリパラメータを含む完全なURLをリファラーとして送信します。これは最もプライバシー保護に欠けるオプションです。
リンク
標準
- OWASP_ASVS_L1:
- V14_4_6
- OWASP_ASVS_L2:
- V14_4_6
- OWASP_ASVS_L3:
- V14_4_6
- PCI_STANDARDS:
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_11_3
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213