Si mi página web devuelve X-DNS-Prefetch-Control=off , ¿Chrome realizará la búsqueda previa de DNS para enlaces como estos ?:
<link rel="dns-prefetch" href="http://www.spreadfirefox.com/">
Sé que Firefox y Chromium respetan este encabezado, pero no estoy seguro de si Chrome también lo hace.
Lo pregunto porque me gustaría desactivar la búsqueda previa de DNS en ciertas páginas seguras en mi sitio web para protegerme contra este tipo de vulnerabilidad: enlace
Respondiendo a mi propia pregunta después de algunos experimentos:
Mi página contiene un enlace que realiza una búsqueda previa de DNS a un dominio arbitrario:
<head>
<meta charset="utf-8" />
<link rel="dns-prefetch" href="http://aaaaaaaaaaa@(new Random().Next(11111)).ba@(new Random().Next(11111)).com">
Configuré el encabezado X-DNS-Prefetch-Control en "off" y agregué un < meta > etiqueta para ser más seguro:
Lamentablemente,ChromeaúnrealizaunallamadadeDNSaesedominio,inclusoconunaPolíticadeseguridaddecontenidoestricta.
La política de seguridad de contenido de mi página que no permite llamadas a ningún dominio externo:
Content-Security-Policy:default-src 'self'; img-src 'self'; form-action 'self';
Parece que Chrome no respeta el encabezado X-DNS-Prefetch-Control. Estoy usando Chrome v64.0.3282.167
Lea otras preguntas en las etiquetas web-application dns chrome content-security-policy dns-prefetch