客户不应该包括Referer如果引用页面是使用安全协议传输的,则(非安全)HTTP 请求中的标头字段。”https://www.rfc-editor.org/rfc/rfc2616#section-15.1.3
根据标准,https://google.com不应该发送Referer标头指向非安全站点,但确实如此。其他 HTTPS 站点是否发送RefererHTTP 站点的标头?
所有这些测试都是使用 Chrome v33.0.1750.117 完成的
要运行测试,我转到第一页,然后打开控制台并手动执行重定向,使用location = "http://reddit.com":
-
https://google.com -> http://www.reddit.com
Referer标题被保留
-
https://startpage.com/ -> http://www.reddit.com Referer标头被剥离
-
https://bankofamerica.com -> http://reddit.com Referer标头被剥离
-
https://facebook.com -> http://reddit.com Referer标头被剥离
谷歌是否做了一些特别的事情来保持Referer标题?是否有保留 HTTPS 站点的列表Referer标题?是否还有其他情况Referer标头被删除?
当您使用 Google Chrome 进行 Google 搜索时,搜索结果中会显示以下标签:
<meta content="origin" id="mref" name="referrer">
The origin值意味着而不是完全省略Referer当去http from https,应提供原始域名,但不提供网站内的确切页面(例如,搜索字符串将保持私有)。
另一方面,链接聚合器如lobsters具有以下内容,这确保整个 URL 将always被提供在Referer(通过 Chrome 和 Safari 等浏览器),因为链接故事无论如何都是公开的:
<meta name="referrer" content="always" />
截至 2014 年中期,这meta[@name="referrer"]只是 HTML5 的一个提议功能,例如,它似乎没有在 Gecko 中实现——只有 Chrome 和 Safari 声称支持它。
http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.html
https://bugzilla.mozilla.org/show_bug.cgi?id=704320
http://wiki.whatwg.org/wiki/Meta_referrer
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
