RFC 2616中的第15.1.3节规定:
如果使用安全协议传输引用页面,客户端不应在(非安全)HTTP请求中包含Referer头字段
但是,我知道很多浏览器都有错误,并不总是遵循规范,而且它只是说不应该,而不是必须。所以我的问题是:
1)是否有任何浏览器(过去,现在或测试版)违反规范,并且当从安全站点发出请求时,DOES会发送引用标头
2)是否有任何工具,浏览器插件或任何方式来修改浏览器以破坏规范并在发出此类请求时发送引用标头
3)我可以在网络上的任何地方找到关于此问题的安全专业人员的任何官方声音来源或信息负载。
对于一些背景知识,这是我的应用程序的安全审查的一部分,该应用程序通过SSL运行,并且规范是不应将任何引用者信息发送到第三方站点。我的测试发现没有浏览器会在这种情况下发送referer标题,但我非常有信心我是对的。
答案 0 :(得分:0)
默认情况下,在Firefox中,如果第三方网站通过HTTPS,则会根据network.http.sendSecureXSiteReferrer选项(可通过地址栏中的about:config访问)发送引用标头。