Después de algunas pruebas, estoy empezando a llegar a la conclusión de que un navegador no envía un encabezado HTTP Referer cuando hace clic en una página http desde una https.¿Se envía el Remitente de cabecera HTTP al ir a una página http desde una página https?
¿Para qué es la razón de seguridad? ¿Está definido en algún lugar del estándar?
Los HTTP RFC estados, en la sección 15.1.3 Encoding Sensitive Information in URI's:
Los clientes NO DEBEN incluir un campo de encabezado Reformista en una solicitud HTTP (no segura) HTTP si la página de referencia fue transferida con un protocolo seguro.
Por lo tanto, se espera/comportamiento estándar.
Ok, entonces, ¿cómo y por qué google envía referer desde https a sitios no seguros? – confiq
@confiq porque dice 'NO DEBE'? –
Sí, definido en el standard:
Los clientes no deben incluir un campo de cabecera Referer en una petición HTTP (no seguro) si la página de referencia se transfiere con un protocolo seguro
Voy a agregar un poco de explicación, https URL a menudo contienen información sensible, como sessionid, número de cuenta, etc. Por supuesto, esto es malo incluso sobre SSL, pero todavía está hecho ... Y de todos modos, las sesiones HTTPS son usualmente aplicaciones sensibles, no hay razón para exponer innecesariamente esa información. – AviD
Motivo: A veces, los ID de sesión están codificados en la URL. Las páginas HTTP pueden tener scripts cruzados que roban la sesión de la comunicación HTTPS. Para evitar esto, el referente no se transmite en la transición de HTTPS a HTTP, por lo que no se puede robar el identificador de sessin con codificación URL.
En realidad, ya no es tan sencillo (2014 en adelante), según este w3c document on referrer policy.
El comportamiento predeterminado es que los navegadores no envían información de referencia cuando van de HTTPS a HTTP. Sin embargo, los navegadores enviarán referencias cuando va de HTTPS a HTTPS.
Además, en HTML5, hay una nueva etiqueta meta llamado de referencia, que se ve así:
<meta name="referrer" content="origin">
New browsers have already implemented this. Entonces, si los navegadores enviarán referrer o no, dependerá de esta metaetiqueta en el futuro cercano. Si esta metaetiqueta no está incluida en el HTML de la página, los navegadores utilizarán el comportamiento predeterminado.
Los siguientes son los posibles valores de atributo de contenido del remitente etiqueta meta:
Además, hay algunas legado valores de atributos para la etiqueta meta de referencia.Estos ya no son recomendables, sino que se utiliza en muchos sitios en la actualidad
Espero que esta información será útil para alguien que acaba de encontrar este post después de 2014.
Buena sugerencia. Sin embargo, no funciona en todos los dispositivos. :(El Chrome en PC/Mac funciona bien. Pero Chrome en ** Andorid ** ¡NO funciona! – Kane
En cualquier caso, es totalmente en manos del cliente si Referer debe establecerse o no. –
@Brian: pero los clientes deben seguir/respetar el RFC que define el protocolo que están usando. –
La respuesta aceptada es una buena respuesta, pero es la misma que la respuesta de @ avid que se publicó anteriormente. – mikemaccana