Missing Web Security Header Tag Referrer-Policy. Come implementare l’intestazione Referrer-Policy e perché

Missing Web Security Header Tag Referrer-Policy segnalato nel report di Web Vulnerability Assessment

In seguito a un report di Web Vulnerability Assessment è emerso un header mancante segnalato come “Missing Web Security Header Tag Referrer-Policy”? La mancanza di header specifici lato server può essere corretta attraverso un’opportuna configurazione per migliorare la sicurezza di piattaforme e sistemi.

Come implementare l’intestazione Referrer-Policy e perché

L’intestazione Referrer-Policy è un header HTTP utilizzato per controllare quali informazioni vengono inviate nel campo Referer delle richieste HTTP quando un utente segue un link da una pagina web a un’altra. Questo header è fondamentale per la protezione della privacy degli utenti e per prevenire la condivisione non intenzionale di informazioni sensibili tra siti diversi.

Cos’è il campo Referer?

Il campo Referer in un’intestazione HTTP contiene l’URL della pagina dalla quale è stata fatta una richiesta verso una nuova risorsa. Sebbene questo possa essere utile per l’analisi del traffico e il tracciamento delle conversioni, può anche esporre informazioni sensibili, come i parametri delle query di ricerca, se non gestito correttamente.

Quando l’intestazione Referrer-Policy manca, il browser dell’utente potrebbe inviare informazioni sensibili sull’URL della pagina di origine a tutti i siti collegati. Questo può includere URL completi con parametri di query, che potrebbero contenere dati sensibili come ID sessione, token o altre informazioni riservate.

Rischi 

  • Esposizione di dati sensibili
    Informazioni sensibili contenute nei parametri URL potrebbero essere inviate a terze parti non autorizzate.
  • Tracciamento
    Gli attaccanti potrebbero utilizzare le informazioni del referrer per tracciare il comportamento degli utenti e raccogliere dati sulle pagine visitate.

Perché implementare la Referrer-Policy?

Implementare una Referrer-Policy è importante per i seguenti motivi.

  • Protezione della privacy
    Implementando correttamente l’header si limitano quali informazioni vengono inviate nel campo Referer e si previene la fuga di dati sensibili, come identificatori di sessione o query di ricerca.
  • Controllo delle informazioni condivise
    Con la Referrer-Policy, si può specificare quali siano i dati trasmessi tra domini diversi, riducendo il rischio di esposizione accidentale di informazioni riservate.
  • Sicurezza
    Limitare le informazioni nel Referer può impedire a siti malevoli di raccogliere dati sui link seguiti dagli utenti e quindi può contribuire a migliorare la sicurezza complessiva del sito.

Come implementare la Referrer-Policy

Per implementare la Referrer-Policy, è necessario aggiungere l’intestazione HTTP Referrer-Policy alla configurazione del server web. Esistono diverse opzioni per configurare questa policy, a seconda delle esigenze:

  • no-referrer: il referrer non viene inviato.
  • no-referrer-when-downgrade: il referrer viene inviato a meno che la richiesta non sia effettuata tramite un protocollo meno sicuro (es. da HTTPS a HTTP).
  • origin: viene inviato solo l’origine del documento (es. https://example.com).
  • strict-origin: viene inviato l’origine solo se il protocollo di sicurezza non viene degradato.
  • same-origin: il referrer viene inviato solo per le richieste verso la stessa origine.
  • origin-when-cross-origin: l’origine viene inviata per le richieste verso origini diverse, mentre il referrer completo viene inviato per le richieste interne.
  • strict-origin-when-cross-origin: comportamento combinato delle politiche strict-origin e origin-when-cross-origin.
  • unsafe-url: il referrer completo viene inviato con tutte le richieste (non consigliato per motivi di sicurezza).

Esempio di implementazione:

Referrer-Policy: strict-origin-when-cross-origin

Questo esempio garantisce che il Referer venga inviato solo quando la richiesta rimane all’interno dello stesso dominio o quando entrambe le pagine coinvolte utilizzano HTTPS, limitando così l’esposizione di dati tra siti diversi.

Conclusione

L’intestazione Referrer-Policy è uno strumento essenziale per migliorare la sicurezza e la privacy degli utenti su un sito web. Implementarla in modo efficace aiuta a controllare quali informazioni vengono condivise con altri siti e riduce il rischio di esporre dati sensibili. Configurare correttamente questa policy è un passaggio fondamentale per qualsiasi sito web che voglia garantire un livello elevato di sicurezza e protezione della privacy per i suoi utenti.

Disclaimer. Il codice e le indicazioni tecniche presenti in questo articolo sono forniti a scopo informativo. È fondamentale che qualsiasi codice venga verificato attentamente e testato in un ambiente sicuro prima di essere implementato in un contesto produttivo. Le configurazioni e le impostazioni descritte potrebbero non essere adatte a tutte le situazioni e potrebbero richiedere adattamenti specifici. Si consiglia di consultare un tecnico esperto o un consulente di fiducia per approfondire le informazioni fornite e garantire che siano applicate correttamente al proprio ambiente. Si declina ogni responsabilità rispetto all’uso di tali informazioni.