HTTPS & Referer

• Referrer Policy, (방문)출처 정책
• A new security header: Referrer Policy
• HTTPS & Referer | 林盎然的博客 Angran Lin's Blog
• As of 2015 this is how you prevent sending the Referer header:
• HTTP referrer(referer) 숨기기
• Removing referer information
  
• [PHP] header() 로 redirect 했을 때 HTTP_REFERER가 사라짐.
  

HTTPS 에서 Referer

HTTPS에서는 referer에 대한 까다로운 몇가지 조건이 존재한다.
안전상의 이유로 HTTPS에서 HTTP로 페이지가 리다이렉션할 경우 "Referer"헤더가 삭제된다.
일부 웹사이트에서는 개인 웹 리소스 제한을 우회하기 위해서 https-http 리다이렉션을 이용한다.
<img src="https://domain.com/redirect?url=somedomain.com?xxx" alt="Redirect" />

구글은 HTTPS를 이용한다. 현재 많은 수의 웹 페이지는 http를 사용한다.
구글은 어떻게 이를 해결할까? https://wiki.whatwg.org/wiki/Meta_referrer에서 제시한 <meta> 태그를 이용해서 Referer를 헤더에 실어서 보낸다.

<!-- 사용자 에이전트가 해당 문서에서 시작된 모든 HTTP 요청에 referer 헤더를 생략하도록 지시한다. -->
<meta name="referrer" content="never" />
<meta name="referrer" content="no-referrer" />
<!-- 사용자 에이전트가 해당 문서에서 시작된 모든 HTTP 요청에 referer 헤더를 포함하도록 지시한다. -->
<meta name="referrer" content="origin" />

<!-- 개별 태그에서 정책 적용 -->
<a href="http://doamin.com" referrerpolicy="origin">domain.com</a>