{% hint style="success" %}
Aprenda e pratique Hacking AWS: [**Treinamento HackTricks AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Aprenda e pratique Hacking GCP: [**Treinamento HackTricks GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Suporte ao HackTricks
* Verifique os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
{% endhint %}
# Cabeçalhos de Referência e Política
Referência é o cabeçalho usado pelos navegadores para indicar qual foi a página anterior visitada.
## Informações sensíveis vazadas
Se em algum momento dentro de uma página da web qualquer informação sensível estiver localizada nos parâmetros de uma solicitação GET, se a página contiver links para fontes externas ou um atacante for capaz de fazer/sugerir (engenharia social) o usuário visitar uma URL controlada pelo atacante. Ele poderia ser capaz de extrair as informações sensíveis dentro da última solicitação GET.
## Mitigação
Você pode fazer o navegador seguir uma **política de Referência** que poderia **evitar** que as informações sensíveis sejam enviadas para outras aplicações web:
```
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
```
## Contramedida
Você pode anular essa regra usando uma tag meta HTML (o atacante precisa explorar uma injeção HTML):
```markup
```
## Defesa
Nunca coloque dados sensíveis dentro de parâmetros GET ou caminhos na URL.
{% hint style="success" %}
Aprenda e pratique Hacking AWS: [**Treinamento HackTricks AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Aprenda e pratique Hacking GCP: [**Treinamento HackTricks GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Apoie o HackTricks
* Verifique os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
{% endhint %}