Section 15.1.3 dans la RFC 2616 stipule:tête Referer lors de la liaison à un site non-SSL, à partir d'un site SSL
Les clients ne doivent pas inclure un champ d'en-tête Referer dans un (non sécurisé) requête HTTP si la page de renvoi a été transférée avec un protocole sécurisé
Cependant, je sais que de nombreux navigateurs ont des bugs et ne suivent pas toujours les spécifications, et il dit seulement ne devrait pas, au lieu de NE DOIT PAS. Ma question est donc:
1) Est-il un navigateur (passé, présent, ou bêta) qui casse spec et n'envoie l'en-tête Referer lorsqu'une demande est faite à partir d'un site sécurisé
2) Existe-t-il des outils
3) Existe-t-il une source de sondage officielle ou un chargement d'informations provenant de professionnels de la sécurité à propos de ce problème, quel que soit l'endroit où se trouve le navigateur? web que je peux regarder. Pour un peu d'arrière-plan, cela fait partie d'un examen de sécurité de mon application qui fonctionne sur SSL, et la spécification est qu'aucune information de référence ne devrait être envoyée à des sites tiers. Mon test n'a trouvé aucun navigateur qui enverra l'en-tête référant dans ce scénario, mais je voudrais être très confiant que j'ai raison.
Dans le cadre de votre examen de sécurité, je suggère que vous ne devriez jamais supposer que les clients qui ne sont pas sous votre contrôle feront ce qu'ils sont censés faire. Même s'il y avait un "NE DOIT PAS" dans la spécification, vous ne seriez pas en mesure de garantir, en tant que fournisseur d'application Web, qu'aucun utilisateur-agent n'enverrait jamais cet en-tête de référant. Il s'agit généralement d'évaluer les risques des navigateurs que les utilisateurs ciblés utiliseront: si nécessaire, avertissez-les qu'ils pourraient divulguer des informations s'ils utilisent un navigateur que vous n'avez pas testé (même si je pense que la probabilité est assez faible). – Bruno