INFO: Internet Explorer n'envoie pas l'en-tête du référent dans des situations non sécurisées

S’applique à : Internet Explorer

Résumé


Lorsque vous reliez d'un document à un autre dans Internet Explorer 4.0 et plus tard, l'en-tête de référence ne sera pas envoyé lorsque le lien est d'une page HTTPS à une page non-HTTPS. L'en-tête de référence ne sera pas envoyé lorsque le lien est d'un protocole non HTTP(S), tel que file://, à une autre page.

Informations supplémentaires


L'en-tête de référence est un en-tête HTTP standard sous la forme de "Referer: 'lt;URL'gt;, qui indique à un serveur Web l'URL de la page qui contenait le lien hypertexte vers l'URL actuellement demandée. Lorsqu'un utilisateur clique sur un lien sur "http://example.microsoft.com/default.htm" à "http://example.microsoft.com/test.htm", le serveur Web example.microsoft.com théorique se verra envoyer un en-tête référent du formulaire "http://example.microsoft.com". Toutefois, Internet Explorer n'enverra pas l'en-tête de référence dans les situations qui peuvent entraîner l'envoi accidentel de données sécurisées vers des sites non sécurisés. Par exemple, Internet Explorer n'enverra pas l'en-tête de référence pour chacun des hyperliens d'exemple suivants d'une URL de document à une autre URL de document :
javascript:somejavascriptcode --> http://example.microsoft.comfile://c:\alocalhtmlfile.htm  --> http://example.microsoft.comhttps://example.microsoft.com --> http://www.microsoft.com 
Cela empêche les noms de fichiers locaux d'être envoyés par inadvertance aux serveurs Web lors de la connexion à partir de contenu local à des sites Web qui pourraient espionner ces informations. En outre, de nombreux serveurs Web sécurisés (HTTPS) stockent des informations sécurisées telles que les données de carte de crédit dans l'URL lors d'une demande GET à une application de serveur CGI ou ISAPI. Ces informations peuvent être envoyées à leur insu dans l'en-tête de référence lors de la liaison à partir d'un serveur "https://" à un serveur "http://" ailleurs sur le Web. Internet Explorer tente d'empêcher cette mauvaise pratique en n'envoyant pas l'en-tête de référence lors de la transition d'une URL HTTPS à une URL non HTTPS.