INFORMACIJE: Internet Explorer ne pošilja glave sklica v nezavarovanih situacijah

Povzetek

Ko v brskalniku Internet Explorer 4.0 in novejših različicah ustvarite povezavo iz enega dokumenta v drugega, glava sklicnika ne bo poslana, ko boste povezavo s strani HTTPS poslali na stran, ki ni HTTPS. Glava sklica prav tako ne bo poslana, ko je povezava iz protokola, ki ni HTTP(S), kot file://, na drugo stran.

Več informacij

Glava sklica je standardna glava HTTP v obliki »Sklic: <URL>«, ki spletnemu strežniku pove URL strani, ki je vsebovala hiperpovezavo do trenutno zahtevanega URL-ja. Ko uporabnik klikne povezavo »http://example.microsoft.com/default.htm« do »http://example.microsoft.com/test.htm«, se teoretični spletni strežnik example.microsoft.com pošlje glava sklica obrazca »http://example.microsoft.com«.


Vendar pa Internet Explorer glave sklicnika ne bo poslal v primerih, ko bi lahko pomotoma poslali varne podatke na nezavarovana spletna mesta. Internet Explorer na primer ne bo poslal glave sklica za vsako od teh vzorčnih hiperpovezav iz enega URL-ja dokumenta v drug URL dokumenta:

        
javascript:somejavascriptcode --> http://example.microsoft.com
file://c:\alocalhtmlfile.htm  --> http://example.microsoft.com
https://example.microsoft.com --> http://www.microsoft.com

To preprečuje nenamerno pošiljanje lokalnih imen datotek v spletne strežnike, ko se s povezavo iz lokalne vsebine povežete s spletnimi mesti, ki bi lahko s temi informacijami zamrla. Številni varni spletni strežniki (HTTPS) med zahtevo GET za strežniško aplikacijo CGI ali ISAPI shranjujejo varne podatke, kot so podatki o kreditni kartici v URL. Te podatke je mogoče nenamerno poslati v glavo sklicnika, ko želite ustvariti povezavo iz strežnika »https://« s strežnikom »http://« drugje v spletu. Internet Explorer poskuša preprečiti to slabo prakso tako, da pri prehodu z URL-ja HTTPS na URL, ki ni HTTPS, glave sklica ne pošlje.