OWASP ASVS项目中关于Referer泄漏防护的技术解析

背景介绍

在OWASP应用安全验证标准(ASVS)项目的最新讨论中，安全专家们针对v5.0.be-50.3.4条款中关于Referer泄漏防护的要求进行了深入探讨。这项要求原本位于14.4.6条款，后被移动并修改到当前位置，主要关注如何防止URL中的敏感信息通过Referer头部泄露给不可信的第三方。

Referer泄漏的风险分析

Referer头部是HTTP协议中的一个标准字段，浏览器在请求外部资源时会自动包含该字段，其中包含当前页面的URL信息。这种机制虽然在某些场景下有用，但也带来了两个主要安全风险：

1. 技术性信息泄露：URL中的路径和查询参数可能包含敏感信息，如会话令牌、用户ID等。如果这些信息通过Referer头部泄露给第三方，可能导致安全漏洞。

2. 隐私泄露：即使URL本身不包含敏感参数，Referer头部也会透露用户访问了特定网站的事实，包括访问时间、用户代理等信息，这在隐私保护日益重要的今天尤为关键。

现代浏览器的默认行为

值得注意的是，自2020年11月起，大多数主流浏览器(包括2021年9月后的Safari)已将strict-origin-when-cross-origin设为默认的Referrer策略。这一策略：

• 在同源请求中发送完整URL
• 在跨源请求中仅发送源(协议+域名+端口)
• 从HTTPS降级到HTTP时不发送Referer

这意味着在现代浏览器中，URL中的查询参数默认不会通过Referer泄露给第三方站点，大大降低了信息泄露风险。

防护机制与最佳实践

尽管现代浏览器提供了基本保护，但在某些场景下仍需额外配置：

1. HTTP响应头设置

最推荐的方式是通过HTTP响应头设置全局策略：

Referrer-Policy: no-referrer

或更细粒度的策略如same-origin、strict-origin等。

2. HTML元标签

对于无法控制HTTP头部的场景，可在HTML中使用：

<meta name="referrer" content="no-referrer">

3. 元素级控制

对特定链接或资源，可使用HTML属性控制：

<a href="..." rel="noreferrer">链接</a>

或

<img src="..." referrerpolicy="no-referrer">

4. 内部应用的特别考虑

对于非公开的内部应用程序，建议采用最严格的no-referrer策略，防止内部主机名信息泄露。

实施建议

1. 评估需求：根据应用性质决定所需保护级别。公开网站可能只需依赖浏览器默认，而内部系统可能需要完全禁用Referer。

2. 兼容性考虑：虽然现代浏览器行为安全，但若需支持旧版浏览器，应明确设置Referrer策略。

3. 隐私保护：即使不考虑技术性信息泄露，从隐私角度也应评估Referer策略。

4. 第三方资源：特别注意通过CSS、字体等加载的第三方资源，这些也会触发Referer发送。

总结

OWASP ASVS的这项要求强调了Web应用对Referer泄漏的防护必要性。开发者应当根据应用的具体场景和安全需求，选择合适的防护机制。现代浏览器虽然提供了基本保护，但在高安全要求的场景下，主动配置Referrer策略仍是必要的最佳实践。