INFO: Internet Explorer Tidak Mengirim Header Perujuk dalam Situasi Yang Tidak Aman

Ringkasan

Saat menautkan dari satu dokumen ke dokumen lain di Internet Explorer 4.0 dan yang lebih baru, header Perujuk tidak akan dikirim ketika tautan berasal dari halaman HTTPS ke halaman non-HTTPS. Header Perujuk juga tidak akan dikirim ketika tautan berasal dari protokol non-HTTP, seperti file://, ke halaman lain.

Informasi Selengkapnya

Header Referer adalah header HTTP standar dalam bentuk "Referer: <URL>," yang menunjukkan ke server Web URL halaman yang berisi hyperlink ke URL yang saat ini diminta. Ketika pengguna mengklik tautan pada "http://example.microsoft.com/default.htm" ke "http://example.microsoft.com/test.htm," server web example.microsoft.com teoritis akan dikirimi header referensi formulir "http://example.microsoft.com".


Namun, Internet Explorer tidak akan mengirim header Referer dalam situasi yang dapat mengakibatkan data aman dikirimkan secara tidak sengaja ke situs yang tidak aman. Misalnya, Internet Explorer tidak akan mengirim header Referer untuk setiap contoh hyperlink berikut dari satu URL dokumen ke URL dokumen lain:

        
javascript:somejavascriptcode --> http://example.microsoft.com
file://c:\alocalhtmlfile.htm  --> http://example.microsoft.com
https://example.microsoft.com --> http://www.microsoft.com

Ini mencegah nama file lokal dikirim tanpa sengaja ke server Web ketika menautkan dari konten lokal ke situs Web yang mungkin menginjak informasi tersebut. Selain itu, banyak server Web aman (HTTPS) menyimpan informasi aman seperti data kartu kredit di URL selama permintaan GET ke aplikasi server CGI atau ISAPI. Informasi ini dapat dikirim tanpa disadari di header Referer ketika menautkan keluar dari server "https://" ke server "http://" di tempat lain di Web. Internet Explorer berusaha mencegah praktik buruk ini dengan tidak mengirim header Referer ketika bertransisi dari URL HTTPS ke URL non-HTTPS.