INFORMASJON: Internet Explorer sender ikke referansehodet i usikrede situasjoner

Sammendrag

Når du kobler fra ett dokument til et annet i Internet Explorer 4.0 og nyere, sendes ikke referanseoverskriften når koblingen er fra en HTTPS-side til en side som ikke er HTTPS-side. Referansehodet sendes heller ikke når koblingen er fra en ikke-HTTP(S)-protokoll, for eksempel file://, til en annen side.

Mer informasjon

Referansehodet er en standard HTTP-topptekst i form av «Referer: <URL-adresse>», som angir url-adressen til siden som inneholdt hyperkoblingen til den forespurte URL-adressen for øyeblikket. Når en bruker klikker på en kobling på «http://example.microsoft.com/default.htm» til «http://example.microsoft.com/test.htm», sendes den teoretiske example.microsoft.com webserveren en referanseoverskrift for skjemaet «http://example.microsoft.com».


Internet Explorer sender imidlertid ikke referansehodet i situasjoner som kan føre til at sikre data sendes utilsiktet til usikrede områder. Internet Explorer sender for eksempel ikke referanseoverskriften for hver av følgende eksempelhyperkoblinger fra én url-adresse for dokument til en annen URL-adresse for dokument:

        
javascript:somejavascriptcode --> http://example.microsoft.com
file://c:\alocalhtmlfile.htm  --> http://example.microsoft.com
https://example.microsoft.com --> http://www.microsoft.com

Dette hindrer at lokale filnavn sendes utilsiktet til webservere når du kobler fra lokalt innhold til webområder som kan snoke på slik informasjon. Mange sikre (HTTPS) webservere lagrer også sikker informasjon, for eksempel kredittkortdata i nettadressen under en GET-forespørsel til et CGI- eller ISAPI-serverprogram. Denne informasjonen kan uforvarende sendes i referansehodet når du kobler fra en «https://»-server til en «http://»-server et annet sted på nettet. Internet Explorer prøver å forhindre denne dårlige praksisen ved ikke å sende referansehodet når du går over fra en HTTPS-nettadresse til en url-adresse som ikke er HTTPS.