THÔNG TIN: Internet Explorer Không Gửi Tiêu đề Trình tham chiếu trong các tình huống không bảo mật

Tóm tắt

Khi liên kết từ tài liệu này sang tài liệu khác trong Internet Explorer 4.0 trở lên, tiêu đề Tham chiếu sẽ không được gửi khi liên kết từ một trang HTTPS đến một trang không phải HTTPS. Tiêu đề Tham chiếu cũng sẽ không được gửi khi nối kết từ một giao thức không phải HTTP(S), chẳng hạn như file://, đến một trang khác.

Thông tin Bổ sung

Tiêu đề Referer là một tiêu đề HTTP tiêu chuẩn ở dạng "Referer: <URL>", cho biết url của trang chứa siêu kết nối đến URL hiện được yêu cầu. Khi người dùng bấm vào liên kết trên "http://example.microsoft.com/default.htm" đến "http://example.microsoft.com/test.htm", máy chủ Web example.microsoft.com lý thuyết sẽ được gửi tiêu đề tham chiếu của biểu mẫu "http://example.microsoft.com".


Tuy nhiên, Internet Explorer sẽ không gửi tiêu đề Referer trong các tình huống có thể dẫn đến an toàn dữ liệu được gửi vô tình đến các trang web không được bảo mật. Ví dụ: Internet Explorer sẽ không gửi tiêu đề Referer cho mỗi siêu kết nối ví dụ sau từ MỘT URL tài liệu đến URL tài liệu khác:

        
javascript:somejavascriptcode --> http://example.microsoft.com
file://c:\alocalhtmlfile.htm  --> http://example.microsoft.com
https://example.microsoft.com --> http://www.microsoft.com

Điều này ngăn chặn các tên tệp cục bộ vô tình được gửi đến các máy chủ Web khi nối kết từ nội dung cục bộ đến các Website có thể rình mò thông tin như vậy. Ngoài ra, nhiều máy chủ Web an toàn (HTTPS) lưu trữ thông tin an toàn như dữ liệu thẻ tín dụng trong URL trong một yêu cầu GET đến một ứng dụng máy chủ CGI hoặc ISAPI. Thông tin này có thể được gửi tự động trong tiêu đề Referer khi nối kết ra khỏi máy chủ "https://" đến một máy chủ "http://" ở những nơi khác trên Web. Internet Explorer cố gắng ngăn chặn thực hành xấu này bằng cách không gửi tiêu đề Referer khi chuyển từ MỘT URL HTTPS sang một URL không phải HTTPS.