3

我有一个将 CDN 用于 jQuery 和其他库的应用程序。某些页面的 URL 包含可能带有个人身份信息的 slug,例如 URL:

https://mycompany.com/myapp/people/123/kilgore-trout

包含一个人的数据库 ID 和他们名字的 slugged 版本。这可能存在保密风险,因为 URL 在请求的引用标头中发送到 CDN。

这是一个合理的担忧吗?如果是这样,除了不使用 CDN 之外,我还能做些什么吗?

4

1 回答 1

5

你的担心是对的。客户端的浏览器在尝试访问图像或外部 javascript 文件时会泄露您的查询字符串或 url。

缓解可以通过以下元标记来完成。

<meta name="referrer" content="never">

当您将此元标记放入您的 html 时,浏览器不会泄露您的网址。

更多信息:http ://w3c.github.io/webappsec/specs/referrer-policy/

于 2014-11-06T08:51:37.320 回答