경우에 따라 Referer가 HTTPS에서 HTTP로 전달됩니다. 어떻게?

이론적으로 브라우저는 참조 정보를 HTTPS에서 HTTP 사이트로 전달하지 않습니다. 그리고 내 경험상 이것은 항상 사실이었습니다. 그러나 나는 예외를 발견했고 그것이 왜 효과가 있는지 이해하고 싶어서 사용할 수도 있습니다.

https://www.google.ca/에서 "내 추천자가 무엇입니까"를 검색 하십시오.
예 : https://www.google.ca/search?q=what+is+my+referer

추천자를 표시 할 사이트가 몇 군데 있습니다. 그들은하지 말아야 할 때 모두 "작동"하는 것처럼 보입니다. 예를 들어 www.whatismyreferer.com을 클릭하십시오. 나는 얻다:

 Your referer:
 https://www.google.ca/

때때로, 결과적으로 "레퍼러 없음"을 얻는 경우가 드물다. 돌아가서 링크를 다시 클릭하면 다음에 "작동"합니다.

이런 일은 일어나지 않아야합니다. www.whatismyreferer.com은 비 HTTPS 사이트입니다. 참조 헤더는 전달되지 않아야하지만 전달됩니다.

여기서 무슨 일이 일어나고 있으며 HTTPS 사이트에서 링크중인 HTTP 사이트로 어떻게합니까?

<meta>Google이 사용 하는 새로운 헤더 로 인한 것 같습니다.

 <meta name="referrer" content="origin">

사양 : https://w3c.github.io/webappsec-referrer-policy/

현재 몇 가지 브라우저 에서만 완벽하게 지원 되므로 완벽한 솔루션은 아니지만 시작입니다!

이것이 표준 동작입니다.

https://tools.ietf.org/html/rfc2616#section-15.1.3 말한다

참조 페이지가 보안 프로토콜로 전송 된 경우 클라이언트는 (비보안) HTTP 요청에 Referer 헤더 필드를 포함하지 않아야합니다.

따라서 고객이 그렇게하면 표준을 위반하는 것입니다.

그런 다음 Google은 표준이며 원하는대로 할 수 있습니다 :-)

이것은 구글 페이지의 자바 스크립트가하고있는 것으로 보입니다. noscript가 활성화 된 firefox에서는 표시되지 않으며 javascript를 비활성화하면 Windows의 Chrome에서는 표시되지 않습니다. 나는 그보다 더 깊이 파고 들지 않았는지 구체적으로 모른다.

<meta> 레이블의 속성 이름에는 새로운 참조 규칙이 있으며이 참조는이 문서에서 전송 된 모든 요청에 ​​첨부 된 HTTP 참조 HTTP 헤더의 컨텐츠를 제어합니다.

자세한 내용은 여기를 참조 하십시오 : RFC Referrer Policy

링크를 클릭하면 https://www.google ....에서 http://www.google ...로 리디렉션되고 www.whatismyreferer.com으로 리디렉션되기 때문입니다.

그리고 당신이 말했듯이, http 웹 사이트 사이에서 referer가 전송됩니다.

Firefox 확장으로 확인할 수 있습니다