HTTP_015_NO_SENSITIVE_VALUES_IN_QUERY_OR_REDIRECT: Keine sensiblen Werte in Query oder Redirect-Location
Severity: must. Bereich: http-api.
Regel
HTTP-Endpunkte DUERFEN Email, Magic Code, Session-ID, Reset-Token, Telefonnummern oder vergleichbare personenbezogene Auth-Werte nicht in Query-Parametern oder Redirect-Location-Headern transportieren. Fuer vorausgefuellte Login-, Reauth- oder Formularwerte ist ein serverseitiger Pending-State mit opakem Secure/HttpOnly/SameSite-Cookie-Token und kurzer TTL zu verwenden.
Reflection-Check
check:
reflect:
fields:
- sensitive_query_params
- sensitive_values_in_location
- state_transfer_strategy
- cookie_token_policy
objects:
- query_contract
- redirect_contractEvidence
- RFC9110, HTTP Semantics
- OWASP_SESSION, OWASP Session Management Cheat Sheet
- MDN_REFERRER_POLICY, Referrer policy configuration