• 重大度スコア：7.3
• CVSS スコア：中

• セキュリティリスクの詳細: com.glide.security.referrerpolicy システムプロパティが no-referrer-when-downgrade または unsafe-url に設定されている場合、作成元とは異なるサイトへの要求の参照元ヘッダーには、要求を行う参照元ページの完全な URL が含まれます。外部サイトと共有される完全な参照元 URL には、インスタンスからの機密情報、またはインスタンスに関する機密情報が含まれている場合があります。これにより、データの漏洩やプライバシー侵害につながる可能性があります。

  プロパティが no-referrer、 origin、または strict-origin に設定されている場合、要求が送信元に送信されるときに、referrer ヘッダーが含まれないか、referrer URL の origin 部分のみが含まれます。この変更により、要求の正確な発信元を簡単に特定できないため、セキュリティインシデントが発生したときにログで攻撃パスを追跡する作業が妨げられる可能性があります。このプロパティを適切に構成することは、セキュリティインシデントの調査を可能にしながら、内部識別子や機密パラメーターの不正な開示を防ぐために不可欠です。

com.glide.security.referrerpolicyシステムプロパティが no-referrer、origin、または strict-origin に設定されている場合、要求が送信元に送信されるときに、referrer ヘッダーが含まれないか、referrer URL の origin 部分のみが含まれます。この変更により、このデータを必要とする機能が機能しなくなる可能性があります。

YouTube などの一部のサイトでは、埋め込みリンク要求では、リファラーヘッダーに少なくともオリジンを含める必要があります (たとえば、「origin-when-cross-origin」ポリシー)。このプロパティの適切な値は、インスタンスの所有者とユースケースによって異なります。推奨されるものについては、ここで説明します。これらのポリシーは安全であり、基本システムの機能を損なうことはありません。これらおよびその他の標準化されたポリシーの詳細については、「 https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy」を参照してください。

• default:機能上、値を same-origin に設定することと同じです
• same-origin:同一生成元要求の発信元、パス、およびクエリ文字列を送信します。クロスオリジン要求の参照元ヘッダーを送信しません。
• origin-when-cross-origin:同一オリジン要求を実行するときに、オリジン、パス、およびクエリ文字列を送信します。クロスオリジン要求の送信元と安全性の低い宛先への要求 (HTTPS から HTTP) のみを送信します。
• strict-origin-when-cross-origin:同一生成元要求を実行するときに、送信元、パス、およびクエリ文字列を送信します。クロスオリジン要求の場合、プロトコルのセキュリティレベルが同じ (HTTPS から HTTPS へ) 維持されている場合にのみオリジンを送信します。リファラーヘッダーを安全性の低い宛先 (HTTPS から HTTP) に送信しません。