Missing Web Security Header Tag Referrer-Policy segnalato nel report di Web Vulnerability Assessment
In seguito a un report di Web Vulnerability Assessment è emerso un header mancante segnalato come “Missing Web Security Header Tag Referrer-Policy”? La mancanza di header specifici lato server può essere corretta attraverso un’opportuna configurazione per migliorare la sicurezza di piattaforme e sistemi.
Come implementare l’intestazione Referrer-Policy e perché
L’intestazione Referrer-Policy è un header HTTP utilizzato per controllare quali informazioni vengono inviate nel campo Referer
delle richieste HTTP quando un utente segue un link da una pagina web a un’altra. Questo header è fondamentale per la protezione della privacy degli utenti e per prevenire la condivisione non intenzionale di informazioni sensibili tra siti diversi.
Cos’è il campo Referer?
Il campo Referer
in un’intestazione HTTP contiene l’URL della pagina dalla quale è stata fatta una richiesta verso una nuova risorsa. Sebbene questo possa essere utile per l’analisi del traffico e il tracciamento delle conversioni, può anche esporre informazioni sensibili, come i parametri delle query di ricerca, se non gestito correttamente.
Quando l’intestazione Referrer-Policy manca, il browser dell’utente potrebbe inviare informazioni sensibili sull’URL della pagina di origine a tutti i siti collegati. Questo può includere URL completi con parametri di query, che potrebbero contenere dati sensibili come ID sessione, token o altre informazioni riservate.
Rischi
- Esposizione di dati sensibili
Informazioni sensibili contenute nei parametri URL potrebbero essere inviate a terze parti non autorizzate. - Tracciamento
Gli attaccanti potrebbero utilizzare le informazioni del referrer per tracciare il comportamento degli utenti e raccogliere dati sulle pagine visitate.
Perché implementare la Referrer-Policy?
Implementare una Referrer-Policy è importante per i seguenti motivi.
- Protezione della privacy
Implementando correttamente l’header si limitano quali informazioni vengono inviate nel campoReferer
e si previene la fuga di dati sensibili, come identificatori di sessione o query di ricerca. - Controllo delle informazioni condivise
Con la Referrer-Policy, si può specificare quali siano i dati trasmessi tra domini diversi, riducendo il rischio di esposizione accidentale di informazioni riservate. - Sicurezza
Limitare le informazioni nelReferer
può impedire a siti malevoli di raccogliere dati sui link seguiti dagli utenti e quindi può contribuire a migliorare la sicurezza complessiva del sito.
Come implementare la Referrer-Policy
Per implementare la Referrer-Policy, è necessario aggiungere l’intestazione HTTP Referrer-Policy
alla configurazione del server web. Esistono diverse opzioni per configurare questa policy, a seconda delle esigenze:
- no-referrer: il referrer non viene inviato.
- no-referrer-when-downgrade: il referrer viene inviato a meno che la richiesta non sia effettuata tramite un protocollo meno sicuro (es. da HTTPS a HTTP).
- origin: viene inviato solo l’origine del documento (es. https://example.com).
- strict-origin: viene inviato l’origine solo se il protocollo di sicurezza non viene degradato.
- same-origin: il referrer viene inviato solo per le richieste verso la stessa origine.
- origin-when-cross-origin: l’origine viene inviata per le richieste verso origini diverse, mentre il referrer completo viene inviato per le richieste interne.
- strict-origin-when-cross-origin: comportamento combinato delle politiche strict-origin e origin-when-cross-origin.
- unsafe-url: il referrer completo viene inviato con tutte le richieste (non consigliato per motivi di sicurezza).
Esempio di implementazione:
Referrer-Policy: strict-origin-when-cross-origin
Questo esempio garantisce che il Referer
venga inviato solo quando la richiesta rimane all’interno dello stesso dominio o quando entrambe le pagine coinvolte utilizzano HTTPS, limitando così l’esposizione di dati tra siti diversi.
Conclusione
L’intestazione Referrer-Policy è uno strumento essenziale per migliorare la sicurezza e la privacy degli utenti su un sito web. Implementarla in modo efficace aiuta a controllare quali informazioni vengono condivise con altri siti e riduce il rischio di esporre dati sensibili. Configurare correttamente questa policy è un passaggio fondamentale per qualsiasi sito web che voglia garantire un livello elevato di sicurezza e protezione della privacy per i suoi utenti.