JPCERT コーディネーションセンター

Referer リクエストヘッダの削除

ある Web ページにアクセスする際に、どのページのリンクをたどって、そのページにアクセスしたかを Web ブラウザがサーバに伝えるためのヘッダ情報である「Referer リクエストヘッダ」によって LAN 内の情報が外部に漏れてしまうことがあります。Web ブラウザによっては、この「Referer リクエストヘッダ」を一切送信しないように設定できるものがありますが、Web サイトによっては Web ブラウザが「Referer リクエストヘッダ」を送信しないと正常に表示/動作しない場合があります。

そこで LAN 内の情報だけを削除し、それ以外の「Referer リクエストヘッダ」だけを送信するように proxy サーバに設定することが推奨されます。例えば、Squid では、acl (Access Control List) で以下のような設定をすることで、特定の文字列で構成される「Referer リクエストヘッダ」のみを送信しないようにすることができます。

    acl internal referer_regex -i ^http://[^/]+\.example\.jp ^http://192\.168\. ^[a-z]:\\ ^file:
    header_access Referer deny internal

「Referer リクエストヘッダ」の詳細については、以下の参考文献をご参照ください。
参考文書(英語)

Weekly Report 2005-03-24号 に掲載

Topへ

Topへ
最新情報(RSSメーリングリストTwitter