INFO: Internet Explorer sendet Referer-Header in ungesicherten Situationen nicht

Gilt für: Windows Internet Explorer

Zusammenfassung


Wenn Sie in Internet Explorer 4.0 und höher eine Verknüpfung von einem Dokument zu einem anderen dokumentieren, wird der Referer-Header nicht gesendet, wenn der Link von einer HTTPS-Seite zu einer Nicht-HTTPS-Seite stammt. Der Referer-Header wird auch nicht gesendet, wenn der Link von einem Nicht-HTTP(S)-Protokoll, z. B. file://, zu einer anderen Seite stammt.

Weitere Informationen


Der Referer-Header ist ein Standard-HTTP-Header in Form von "Referer: <URL>", der einem Webserver die URL der Seite angibt, die den Hyperlink zur aktuell angeforderten URL enthält. Wenn ein Benutzer auf einen Link auf "http://example.microsoft.com/default.htm" bis "http://example.microsoft.com/test.htm" klickt, wird dem theoretischen example.microsoft.com Webserver ein Referer-Header des Formulars "http://example.microsoft.com" gesendet. Internet Explorer sendet den Referer-Header jedoch nicht in Situationen, die dazu führen können, dass sichere Daten versehentlich an ungesicherte Sites gesendet werden. Internet Explorer sendet z. B. nicht den Referer-Header für jeden der folgenden Beispielhyperlinks von einer Dokument-URL zu einer anderen Dokument-URL:
javascript:somejavascriptcode --> http://example.microsoft.comfile://c:\alocalhtmlfile.htm  --> http://example.microsoft.comhttps://example.microsoft.com --> http://www.microsoft.com 
Dadurch wird verhindert, dass lokale Dateinamen versehentlich an Webserver gesendet werden, wenn sie von lokalen Inhalten mit Websites verknüpft werden, die möglicherweise nach solchen Informationen schnüffeln. Außerdem speichern viele sichere (HTTPS) Webserver sichere Informationen wie Kreditkartendaten in der URL während einer GET-Anforderung an eine CGI- oder ISAPI-Serveranwendung. Diese Informationen können unwissentlich im Referer-Header gesendet werden, wenn Sie von einem "https://"-Server mit einem "http://"-Server an anderer Stelle im Web verknüpfen. Internet Explorer versucht, diese fehlerhafte Vorgehensweise zu verhindern, indem der Referer-Header beim Übergang von einer HTTPS-URL zu einer Nicht-HTTPS-URL nicht gesendet wird.