INFO: Internet Explorer no envía el encabezado referer en situaciones no seguras

Se aplica: Internet Explorer

Resumen


Al vincular de un documento a otro en Internet Explorer 4.0 y versiones posteriores, el encabezado Referer no se enviará cuando el vínculo sea de una página HTTPS a una página que no sea HTTPS. El encabezado Referer tampoco se enviará cuando el vínculo es de un protocolo que no es HTTP(S), como file://, a otra página.

Más información


El encabezado Referer es un encabezado HTTP estándar en forma de "Referer: <URL>", que indica a un servidor Web la dirección URL de la página que contenía el hipervínculo a la dirección URL solicitada actualmente. Cuando un usuario hace clic en un enlace en "http://example.microsoft.com/default.htm" a "http://example.microsoft.com/test.htm", el servidor web example.microsoft.com teórico se enviará un encabezado de referencia con el formulario "http://example.microsoft.com". Sin embargo, Internet Explorer no enviará el encabezado Referer en situaciones que puedan dar lugar a que los datos seguros se envíen accidentalmente a sitios no seguros. Por ejemplo, Internet Explorer no enviará el encabezado Referer para cada uno de los hipervínculos de ejemplo siguientes de una dirección URL de documento a otra dirección URL del documento:
javascript:somejavascriptcode --> http://example.microsoft.comfile://c:\alocalhtmlfile.htm  --> http://example.microsoft.comhttps://example.microsoft.com --> http://www.microsoft.com 
Esto evita que los nombres de archivo locales se envíen inadvertidamente a servidores web al vincular desde contenido local a sitios Web que podrían espiar dicha información. Además, muchos servidores web seguros (HTTPS) almacenan información segura, como datos de tarjetas de crédito en la dirección URL durante una solicitud GET a una aplicación de servidor CGI o ISAPI. Esta información se puede enviar involuntariamente en el encabezado Referer cuando se vincula desde un servidor "https://" a un servidor "http://" en otra parte de la Web. Internet Explorer intenta evitar esta práctica incorrecta al no enviar el encabezado Referer al realizar la transición de una dirección URL HTTPS a una dirección URL no HTTPS.