¿Por qué el encabezado del Referer no usa "el mismo origen" de forma predeterminada?

3

La misma política de origen es una parte importante del modelo de seguridad, por lo que está "activada" de manera predeterminada para la mayoría de las cosas, pero para el referente no parece ser así. El valor predeterminado para los navegadores parece ser no-referrer-when-downgrade , que en la práctica está cerca de "siempre activado", supongo que todos usan TLS.

Probablemente same-origin sería una opción más segura ya que no filtrará su URL a la parte 3d.

¿Entonces me pregunto si hay alguna buena razón para eso?

Supongo que es demasiado importante para la publicidad o simplemente lo fue históricamente y nadie quiere cambiarlo.

    
pregunta Ilya Chernomordik 20.11.2018 - 09:59
fuente

1 respuesta

2

Referer es un encabezado de solicitud HTTP muy antiguo que es mucho más antiguo que la idea de una Política de referencia. Por temor a romper cosas, el comportamiento predeterminado es el tradicional, es decir, casi siempre está activado. Mantener el valor predeterminado anterior incluso si se considera malo es un tema que se puede ver con muchas mejoras de seguridad y privacidad en el desarrollo web, por ejemplo, con Content-Security-Policy (predeterminado: permitir todo, lo que hace posible XSS) o los indicadores de cookies Secure (inseguro predeterminado), HttpOnly (predeterminado: se puede leer desde JavaScript, lo que hace posible el robo de sesiones usando XSS), SameSite (ayuda predeterminada insegura con CSRF) etc.

    
respondido por el Steffen Ullrich 20.11.2018 - 20:11
fuente

Lea otras preguntas en las etiquetas