引用标题中的CDN和个人身份信息

时间:2014-11-05 22:58:16

标签: security url cdn confidentiality

我有一个将CDN用于jQuery和其他库的应用程序。某些页面的URL包含可能具有个人身份信息的slugs,例如URL:

https://mycompany.com/myapp/people/123/kilgore-trout

包含一个人的数据库ID及其名称的slugged版本。这可能是机密性风险,因为URL会在请求的引用标头中发送到CDN。

这是一个合理的担忧吗?如果是这样,除了不使用CDN之外还有什么可以做的吗?

1 个答案:

答案 0 :(得分:5)

您的担忧是正确的。客户端的浏览器在尝试访问图片或外部JavaScript文件时会泄露您的查询字符串或网址。

可以通过以下元标记进行缓解。

<meta name="referrer" content="never">

当您将此元标记放入html时,浏览器不会泄露您的网址。

更多信息:http://w3c.github.io/webappsec/specs/referrer-policy/