Firefox: リファラー ヘッダーの送信に関するセキュリティ上の懸念

Firefox: リファラー ヘッダーの送信に関するセキュリティ上の懸念

最近、Firefox を使用して特定の Web サイトにログインできないことに気付きました。いつからこの問題が発生し始めたのかは正確にはわかりません。現在、Firefox 14.0.1 を実行しています。他のブラウザではログインは正常に機能します。

最も最近に最も詳細なエラーが発生していました。

Forbidden (403)

CSRF verification failed. Request aborted.

You are seeing this message because this HTTPS site requires a 'Referer header'
to be sent by your Web browser, but none was sent. This header is required for
security reasons, to ensure that your browser is not being hijacked by third 
parties.

If you have configured your browser to disable 'Referer' headers, please 
re-enable them, at least for this site, or for HTTPS connections, or for 
'same-origin' requests.

これにより、私は自分の問題に対する答えを見つけることができました。別の質問about:config で「network.http.sendRefererHeader」が「0」になっていました。これを「1」に変更したら無事ログインできました。自分で設定した覚えはないので、アップデートでデフォルト設定が変わったのかなと思います。

質問ですが、リファラー ヘッダーを無効にする理由はありますか? セキュリティ上の問題ですか?

答え1

HTTP_REFERER ヘッダー文字列は、リンクをクリックしてブラウザに別の HTTP リクエストを発行させたときに「アクセスしていた」 URL を識別します。これはプライバシー侵害と見なされる可能性があります。多くのサイトでは、マシン生成のリクエストやホットリンクに対する防御策として、このヘッダー文字列が正しく設定されていることを主張しています。

セキュリティを重視したアドオンがインストールされていると、Firefox がこのヘッダーを送信しなかったり、ヘッダー内に偽のデータが送信されたりする可能性があります。

関連情報