¿Por qué el encabezado del Referer no usa "el mismo origen" de forma predeterminada?

Question

¿Por qué el encabezado del Referer no usa "el mismo origen" de forma predeterminada?

#1 de Steffen Ullrich (2 votos)

3

La misma política de origen es una parte importante del modelo de seguridad, por lo que está "activada" de manera predeterminada para la mayoría de las cosas, pero para el referente no parece ser así. El valor predeterminado para los navegadores parece ser no-referrer-when-downgrade , que en la práctica está cerca de "siempre activado", supongo que todos usan TLS.

Probablemente same-origin sería una opción más segura ya que no filtrará su URL a la parte 3d.

¿Entonces me pregunto si hay alguna buena razón para eso?

Supongo que es demasiado importante para la publicidad o simplemente lo fue históricamente y nadie quiere cambiarlo.

web-browser privacy http same-origin-policy referer

pregunta Ilya Chernomordik 20.11.2018 - 09:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-browser privacy http same-origin-policy referer

Configuración de la cuenta de Windows asignada a la autorización del certificado IIS ¿Por qué “! - script” en una cadena JS causa una página rota / denegación de servicio para esa página?

score 2 · Accepted Answer

Referer es un encabezado de solicitud HTTP muy antiguo que es mucho más antiguo que la idea de una Política de referencia. Por temor a romper cosas, el comportamiento predeterminado es el tradicional, es decir, casi siempre está activado. Mantener el valor predeterminado anterior incluso si se considera malo es un tema que se puede ver con muchas mejoras de seguridad y privacidad en el desarrollo web, por ejemplo, con Content-Security-Policy (predeterminado: permitir todo, lo que hace posible XSS) o los indicadores de cookies Secure (inseguro predeterminado), HttpOnly (predeterminado: se puede leer desde JavaScript, lo que hace posible el robo de sesiones usando XSS), SameSite (ayuda predeterminada insegura con CSRF) etc.