ข้อมูล: Internet Explorer ไม่ส่งส่วนหัวของผู้อ้างอิงในสถานการณ์ที่ไม่ปลอดภัย

สรุป

เมื่อลิงก์จากเอกสารหนึ่งไปยังอีกเอกสารหนึ่งใน Internet Explorer 4.0 และเวอร์ชันที่ใหม่กว่า ส่วนหัวของผู้อ้างอิงจะไม่ถูกส่งเมื่อลิงก์มาจากหน้า HTTPS ไปยังหน้าที่ไม่ใช่ HTTPS ส่วนหัวของ Referer จะไม่ถูกส่งเมื่อลิงก์มาจากโพรโทคอลที่ไม่ใช่ HTTP(S) เช่น file:// ไปยังหน้าอื่น

ข้อมูลเพิ่มเติม

ส่วนหัวของผู้อ้างอิงเป็นส่วนหัว HTTP มาตรฐานในรูปแบบของ "การอ้างอิง: <URL>" ซึ่งบ่งชี้ไปยังเว็บเซิร์ฟเวอร์ URL ของเพจที่มีไฮเปอร์ลิงก์ไปยัง URL ที่ร้องขอในปัจจุบัน เมื่อผู้ใช้คลิกที่ลิงก์บน "http://example.microsoft.com/default.htm" เป็น "http://example.microsoft.com/test.htm" ตามทฤษฎี example.microsoft.com เว็บเซิร์ฟเวอร์จะถูกส่งส่วนหัวอ้างอิงของแบบฟอร์ม "http://example.microsoft.com"


อย่างไรก็ตาม Internet Explorer จะไม่ส่งส่วนหัวของผู้อ้างอิงในสถานการณ์ที่อาจส่งผลให้มีการส่งข้อมูลที่ปลอดภัยไปยังไซต์ที่ไม่ปลอดภัยโดยไม่ได้ตั้งใจ ตัวอย่างเช่น Internet Explorer จะไม่ส่งส่วนหัวของผู้อ้างอิงสําหรับแต่ละตัวอย่างต่อไปนี้ไฮเปอร์ลิงก์จาก URL ของเอกสารหนึ่งไปยัง URL ของเอกสารอื่น:

        
javascript:somejavascriptcode --> http://example.microsoft.com
file://c:\alocalhtmlfile.htm  --> http://example.microsoft.com
https://example.microsoft.com --> http://www.microsoft.com

ซึ่งจะป้องกันไม่ให้ส่งชื่อไฟล์ภายในเครื่องไปยังเว็บเซิร์ฟเวอร์โดยไม่ได้ตั้งใจเมื่อทําการลิงก์จากเนื้อหาภายในไปยังเว็บไซต์ที่อาจสอดแนมข้อมูลดังกล่าว นอกจากนี้ เว็บเซิร์ฟเวอร์ที่มีความปลอดภัย (HTTPS) จํานวนมากจะจัดเก็บข้อมูลที่ปลอดภัย เช่น ข้อมูลบัตรเครดิตใน URL ระหว่างการร้องขอ GET ไปยังแอปพลิเคชันเซิร์ฟเวอร์ CGI หรือ ISAPI ข้อมูลนี้อาจถูกส่งอย่างไม่คาดคิดในส่วนหัวของผู้อ้างอิงเมื่อลิงก์ออกจากเซิร์ฟเวอร์ "https://" ไปยังเซิร์ฟเวอร์ "http://" ที่อื่นบนเว็บ Internet Explorer พยายามป้องกันไม่ให้เกิดผลเสียนี้โดยไม่ได้ส่งส่วนหัวของผู้อ้างอิงเมื่อเปลี่ยนจาก URL HTTPS เป็น URL ที่ไม่ใช่ HTTPS