INFO: program Internet Explorer nie wysyła nagłówka Referer w sytuacjach niezabezpieczonych

Dotyczy: Internet Explorer

Podsumowanie


Podczas łączenia z jednego dokumentu do innego w programie Internet Explorer 4,0 i nowszych, nagłówek Referer nie będą wysyłane, gdy łącze jest ze strony HTTPS do strony bez HTTPS. Nagłówek Referer również nie będą wysyłane, gdy łącze jest z protokołu innych niż HTTP (S), takich jak file://, do innej strony.

Więcej informacji


Nagłówek Referer jest standardowym nagłówkiem HTTP w formie "Referer: < URL >," który wskazuje serwerowi sieci Web adres URL strony, która zawierała hiperłącze do aktualnie żądanego adresu URL. Gdy użytkownik kliknie łącze na "http://example.microsoft.com/default.htm" do "http://example.microsoft.com/test.htm", teoretyczny example.microsoft.com serwer sieci Web zostanie wysłany nagłówek Referer w postaci "http://example.microsoft.com". Jednak program Internet Explorer nie wyśle nagłówek Referer w sytuacjach, które mogą spowodować bezpieczne dane są wysyłane przypadkowo do niezabezpieczonych witryn. Na przykład program Internet Explorer nie wyśle nagłówek Referer dla każdego z następujących przykładowych hiperłączy z adresu URL jednego dokumentu do innego adresu URL dokumentu:
javascript:somejavascriptcode --> http://example.microsoft.comfile://c:\alocalhtmlfile.htm  --> http://example.microsoft.comhttps://example.microsoft.com --> http://www.microsoft.com 
Zapobiega to nieumyślnemu wysyłaniu lokalnych nazw plików do serwerów sieci Web podczas łączenia się z zawartością lokalną z witrynami sieci Web, które mogą być Snoop na takich informacjach. Ponadto wiele bezpiecznych (HTTPS) serwerów sieci Web przechowuje bezpieczne informacje, takie jak dane karty kredytowej w adresie URL podczas żądania GET do aplikacji serwera CGI lub ISAPI. Te informacje mogą być nieświadomie wysyłane w nagłówku Referer podczas łączenia się z serwerem "https://" do serwera "http://" w innym miejscu w sieci Web. Program Internet Explorer próbuje zapobiec tej złej praktyce, nie wysyłając nagłówek Referer podczas przechodzenia z adresu URL HTTPS do adresu URL bez HTTPS.