“检测到目标Referrer-Policy响应头缺失”的报告问题

作者: 来源:本站原创 点击数: 发布时间:2022年01月04日

问题分析:安全报告提示"检测到目标Referrer-Policy响应头缺失"

详细描述:web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有: no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。


解决办法:

可在web.config文件下面添加Http响应头,

<add name="Referrer-Policy" value="origin-when-cross-origin"/>

44482d9b34954cdeba63dcec2d6fdb8f.png