比方说,我们的应用程序在https://my-app.domain.com/logout
上公开了GET请求。它将使用HTTP状态代码302重定向到另一个页面,并包含标头Referrer-Policy: strict-origin
。重定向目标页面为https://identity-provider.domain.com/oauth2/op_session_end?post_logout_redirect_uri=https%3A%2F%2Fwww.domain.com&id_token_hint=blabla
。目标页面需要Referer
标头作为请求标头才能使用它的OAuth功能。
据我了解,在这种情况下"strict-origin" Referrer-Policy应该可以工作。它应将原点Referer
包含在302目标页的请求标头中,以便获取Referer: https://my-app.domain.com
。这个假设正确吗?因为它不能在最新的Firefox版本(例如64.0.2)中运行,但是Chrome,Safari和甚至Internet Explorer都没有相同的问题。
Firefox是否存在有关引荐来源网址政策的已知问题?