Відомості про: Internet Explorer не надсилати посилання заголовок в незахищених ситуаціях

Застосовується до: Internet Explorer

Загальні відомості


Під час зв'язування з одного документа до іншого в Internet Explorer 4,0 і пізніших версій, заголовок не буде надіслано, коли посилання з сторінки HTTPS на сторінці не HTTPS. Заголовок посилання також не буде надіслано, якщо зв'язок з протоколом Non-HTTP (S), наприклад file://, на іншу сторінку.

Додаткові відомості


Заголовок посилання — це стандартний заголовок HTTP у формі «реферер: < URL >», який вказує на веб-сервер URL-адресу сторінки, яка містила гіперпосилання на поточну запитувану URL-адресу. Коли користувач натискає на посилання на "http://example.microsoft.com/default.htm" на "http://example.microsoft.com/test.htm", теоретичний example.microsoft.com веб-сервер буде відправлений заголовок з посиланням на форму "http://example.microsoft.com". Проте браузер Internet Explorer не надсилатиме заголовок посилання в ситуаціях, що може призвести до безпечних даних, які надсилаються випадково незабезпечених сайтів. Наприклад, браузер Internet Explorer не надсилатиме заголовок посилання для кожного з наведених нижче гіперпосилань з однієї URL-адреси документа на іншу URL-адресу документа:
javascript:somejavascriptcode --> http://example.microsoft.comfile://c:\alocalhtmlfile.htm  --> http://example.microsoft.comhttps://example.microsoft.com --> http://www.microsoft.com 
Це запобігає ненавмисного надсилання локальних імен файлів на веб-сервери під час зв'язування з локального вмісту на веб-сайти, які можуть Snoop на таку інформацію. Крім того, багато безпечних (HTTPS) веб-сервери зберігають безпечну інформацію, таку як дані кредитної картки в URL-адресі під час отримання запиту на CGI або ISAPI Server Application. Ця інформація може бути мимоволі відправлений у заголовку референта під час зв'язування з сервера "https://" на сервері "http://" в іншому місці в Інтернеті. Internet Explorer намагається уникнути цієї поганої практики, не надсилаючи заголовок посилання під час переходу з HTTPS URL-адресу, не HTTPS URL.