L'en-tête Referrer-Policy est un mécanisme de sécurité HTTP qui contrôle quelles informations de référence (referrer) sont incluses dans les requêtes HTTP.
L'objectif principal de Referrer-Policy est de permettre aux sites web de contrôler la quantité d'informations de référence qui sont transmises lorsque les utilisateurs naviguent entre différentes pages web. Cela peut aider à protéger la confidentialité des utilisateurs en limitant la divulgation d'informations sensibles, telles que les URL complètes, entre différents sites.
Valeurs
Referrer-Policy peut prendre différentes valeurs pour définir le comportement de transmission des informations de référence.
- no-referrer : Aucune information de référence n'est incluse dans la requête HTTP.
- no-referrer-when-downgrade : Aucune information de référence n'est incluse lors de la navigation d'une page HTTPS vers une page HTTP, mais est incluse pour les autres cas.
- same-origin : L'information de référence est incluse pour les requêtes provenant du même site web (même origine), mais pas pour les requêtes vers des sites externes.
- strict-origin : L'information de référence est incluse uniquement pour les requêtes provenant de la même origine, mais sans chemin de l'URL. Cette valeur est similaire à same-origin, mais exclut le chemin de l'URL.
- origin : Seule l'origine (domaine) de la page est incluse comme information de référence, sans le chemin de l'URL.
- unsafe-url : L'URL complète est incluse comme information de référence dans toutes les requêtes, y compris lors de la navigation entre des sites HTTP et HTTPS.
Compatibilité
Referrer-Policy est largement pris en charge par les principaux navigateurs web, mais son support peut varier légèrement entre les versions et les navigateurs. Il est important de tester les paramètres de politique de référent pour s'assurer qu'ils fonctionnent comme prévu dans différents environnements.
Protection de la vie privée
En contrôlant quelles informations de référence sont transmises, Referrer-Policy peut aider à protéger la vie privée des utilisateurs en réduisant la quantité d'informations sensibles transmises entre les sites web.
Referrer-Policy est un mécanisme utile pour contrôler la transmission d'informations de référence dans les requêtes HTTP, ce qui peut contribuer à protéger la vie privée des utilisateurs et à renforcer la sécurité des applications web. Son utilisation appropriée peut aider à réduire les risques liés à la divulgation d'informations sensibles entre différents sites web.
Quelles sont les risques ?
La politique de référence (Referer Policy) est un mécanisme de sécurité qui contrôle comment les informations de référence (referer) sont incluses dans les requêtes HTTP.
Voici quelques risques associés à ne pas utiliser la politique de référence ou à la configurer de manière incorrecte :
- Fuite d'informations sensibles : Sans une politique de référence adéquate, les informations de référence peuvent être incluses dans les requêtes HTTP sortantes, ce qui peut entraîner la fuite d'informations sensibles telles que les URL complètes des pages précédentes. Cela peut exposer des données confidentielles aux tiers, y compris des informations d'identification, des identifiants de session ou d'autres données sensibles présentes dans les URL.
- Risques de sécurité liés à la confidentialité : L'inclusion des informations de référence dans les requêtes sortantes peut également poser des risques de confidentialité, car cela peut permettre à des tiers de suivre la navigation de l'utilisateur sur différents sites web. Cela peut être exploité à des fins de profilage, de surveillance ou de ciblage publicitaire, ce qui peut violer la confidentialité de l'utilisateur.
- Risque d'attaques CSRF : Les informations de référence peuvent être exploitées dans certaines attaques, telles que les attaques CSRF (Cross-Site Request Forgery), où un site malveillant peut utiliser les informations de référence pour manipuler les actions d'un utilisateur authentifié sur un site légitime. Une politique de référence appropriée peut aider à atténuer ces risques en limitant la manière dont les informations de référence sont transmises.
- Possibilité d'abus de services tiers : Lorsque les informations de référence sont transmises à des services tiers via des requêtes sortantes, il existe un risque que ces services tiers puissent abuser de ces informations à des fins malveillantes ou non autorisées. Par exemple, des services d'analyse tiers pourraient collecter et exploiter les informations de référence sans consentement approprié.
Ne pas utiliser ou configurer correctement la politique de référence peut entraîner des risques de sécurité et de confidentialité, notamment la fuite d'informations sensibles, les risques de sécurité liés à la confidentialité, les attaques CSRF et l'abus de services tiers. Il est donc recommandé de mettre en œuvre une politique de référence appropriée pour atténuer ces risques et protéger la sécurité et la confidentialité des utilisateurs de votre site web.