• 심각도 점수: 4.3
• CVSS 점수: 중간

• 보안 위험 상세 정보: 시스템 속성이 com.glide.security.referrerpolicyno-referrer-when-downgrade 또는 unsafe-url로 설정되면 원본과 다른 사이트에 대한 요청의 리퍼러 헤더에는 요청을 하는 참조 페이지의 전체 URL이 포함됩니다. 외부 사이트와 공유되는 전체 리퍼러 URL에는 인스턴스에서 보낸 중요한 정보 또는 인스턴스에 대한 중요한 정보가 포함될 수 있습니다. 이는 데이터 유출 및 개인 정보 침해로 이어질 수 있습니다.

  속성이 no-referrer, origin 또는 strict-origin으로 설정되면 리퍼러 헤더가 포함되지 않거나 요청이 오리진으로 전송될 때 리퍼러 URL의 원본 부분만 포함됩니다. 이러한 변경은 요청의 정확한 출처를 쉽게 확인할 수 없기 때문에 보안 인시던트가 발생할 때 로그에서 공격 경로를 추적하려는 노력을 방해할 수 있습니다. 이 속성을 올바르게 구성하는 것은 내부 식별자 또는 기밀 매개변수의 무단 공개를 방지하는 동시에 보안 인시던트 조사를 허용하는 데 필수적입니다.

시스템 속성이 com.glide.security.referrerpolicyno-referrer, origin 또는 strict-origin으로 설정되면 리퍼러 헤더가 포함되지 않거나 요청이 오리진으로 전송될 때 리퍼러 URL의 원본 부분만 포함됩니다. 이 변경으로 인해 이 데이터가 필요한 기능이 중단될 수 있습니다.

YouTube와 같은 일부 사이트에서는 리퍼러 헤더에 최소한 원본을 포함하기 위해 포함된 링크 요청이 필요합니다(예: "origin-when-cross-origin" 정책). 이 속성의 적절한 값은 인스턴스 소유자와 사용 사례에 따라 다릅니다. 우리가 권장하는 것들은 여기에 설명되어 있습니다. 이러한 정책은 안전하며 기본 시스템 기능을 손상시키지 않습니다. 이러한 정책과 기타 표준화된 정책에 대한 자세한 내용은 다음에서 https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy확인할 수 있습니다.

• 기본값: 기능적으로 값을 same-origin으로 설정하는 것과 동일함
• same-origin: 동일한 원본 요청에 대한 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청에 대한 참조자 헤더를 보내지 않습니다.
• origin-when-cross-origin: 동일한 원본 요청을 수행할 때 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청 및 보안이 덜한 대상(HTTPS에서 HTTP로)으로 요청에 대한 원본만 보냅니다.
• strict-origin-when-cross-origin: 동일한 원본 요청을 수행할 때 원본, 경로 및 쿼리 문자열을 보냅니다. 교차 원본 요청의 경우 프로토콜 보안 수준이 동일하게 유지되는 경우에만 원본을 보냅니다(HTTPS에서 HTTPS로). 리퍼러 헤더를 덜 안전한 대상(HTTPS에서 HTTP로)으로 보내지 않습니다.