引用標題中的CDN和個人身份信息

Question

我有一個應用程序使用jQuery和其他庫的CDN。有些有包含蛞蝓有可能是個人身份信息的網址，例如網址：

https://mycompany.com/myapp/people/123/kilgore-trout 

包含一個人的數據庫ID及其名稱的猛擊版本。這可能會帶來機密風險，因爲URL會在請求的引用標頭中發送到CDN。

這是一個合理的擔憂嗎？如果是這樣，除了不使用CDN之外，我還有什麼可以做的嗎？

Answer 1

您的關注是正確的。客戶端的瀏覽器在嘗試訪問圖片或外部JavaScript文件時將泄漏您的查詢字符串或網址。

緩解可通過以下元標記完成。

<meta name="referrer" content="never"> 

當你把這個元標籤放到你的html中時，瀏覽器不會泄漏你的網址。

更多信息：http://w3c.github.io/webappsec/specs/referrer-policy/