Раздел 15.1.3 в RFC 2616 гласит:
Клиенты НЕ ДОЛЖНЫ включать поле заголовка Referer в (незащищенный) HTTP-запрос, если ссылающаяся страница была передана с использованием защищенного протокола
Тем не менее, я знаю, что во многих браузерах есть ошибки и они не всегда следуют спецификациям, плюс в нем только сказано, что НЕ ДОЛЖНО, а НЕ ДОЛЖНО.Поэтому мой вопрос:
1) Существует ли какой-либо браузер (прошлый, настоящий или бета-версия), который нарушает спецификацию и отправляет заголовок реферера при запросе с защищенного сайта
2)Существуют ли какие-либо инструменты, плагины для браузера или какой-либо другой способ изменить браузер, чтобы он нарушал спецификации и отправлял заголовок referer при выполнении такого запроса
3) Есть ли какой-либо официальный источник информации или загрузка информации от специалистов по безопасности по этому поводу?проблема в Интернете, на которую я могу посмотреть.
Для некоторой предыстории, это часть обзора безопасности моего приложения, которое работает через SSL, и спецификация заключается в том, что никакая информация о реферерах не должна отправляться на сторонние сайты.В моем тестировании не было найдено браузера, который будет отправлять заголовок реферера в этом сценарии, но я хотел бы быть очень уверен, что я прав.