从https页面转到http页面时是否发送HTTP标头Referer？

Question

经过几次测试后，我开始得出结论，即当浏览器从https页面点击http页面时，不会发送Referer HTTP页眉。

这是什么安全原因？是在标准的某个地方定义的？

Answer 1

的HTTP RFC状态，在节15.1.3 Encoding Sensitive Information in URI's：

如果引用页面是 与安全协议一起传输，则客户端不应在（非安全）HTTP 请求中包含引用字段的引用字段 。

因此，这是预期/标准行为。

Answer 2

是的，在standard定义：

客户不应该包括在一个（非安全）HTTP 请求的Referer 报头字段，如果参照页面转移与安全协议

Answer 3

原因：有时会话ID是URL编码的。 HTTP页面可以具有跨站点脚本，从HTTPS通信中窃取会话。为了防止这种情况，引用者不会在HTTPS到HTTP转换中传输，因此URL编码的sessin ID不会被盗用。

Answer 4

根据这w3c document on referrer policy其实它不是那么简单（2014年起）。

默认行为是浏览器在从HTTPS到HTTP时不会发送引用信息。但是，从HTTPS到HTTPS时，浏览器将发送引荐来源。

此外，在HTML5中，有一个新的meta标签命名的引荐，看起来像这样：

<meta name="referrer" content="origin"> 

New browsers have already implemented this。因此，不管浏览器是否会发送引荐，都将在不久的将来取决于此元标记。如果此元标记未包含在页面的HTML中，那么浏览器将使用默认行为。

以下是引用meta标签的内容属性的可能值：

• 没有引荐：推荐人将不会被发送，无论HTTP或HTTPS
• 产地：只有原点（主）域将被作为推荐人
• 原点时，crossorigin：相同的起源将发送完整的引荐URL和跨原点将只发送源URL作为引用
• 没有引用，当降级：这是默认的行为时，没有引用元标记在页面上提供。
• 不安全，网址：这将始终发送引荐，无论HTTP或HTTPS

此外，还有一些遗留属性为引用元标记值。这些都不再推荐使用，但目前在很多网站使用：

• 从未：同无引用
• 默认：同无引用，当降级
• 总是：同不安全-url

我希望这些信息将有助于别人谁刚刚发现这个帖子2014年