Http-equiv = “refresh” mantiene le informazioni sui referrer e i metadati?

Se imposto una pagina come questa:

 

Il browser invierà informazioni sui referrer e altri metadati quando viene eseguito il reindirizzamento?

Nei test qui, Firefox e IE non fanno altro che Chrome che invia il referrer (anche se questo è incoerente), indipendentemente dal fatto che stia andando allo stesso dominio o meno.

Visto che non riesco a trovare alcuna specifica che indichi quale dovrebbe essere il comportamento standard, e il W3C in generale scoraggia un reindirizzamento META, non sono sicuro che si possa mai dipendere dal fatto che sia coerente.

Ho fatto alcuni test aggiuntivi con questo. Ho avuto tre URI coinvolti (tutti sullo stesso dominio):

  • /page.html che aveva un link al meta refresh
  • /refresh.html che utilizzava un meta refresh alla destinazione
  • /destination.html che utilizzava JavaScript per scrivere il referrer nella pagina.

Ho eseguito il test in diversi browser aprendo page.html e facendo clic sul link, quindi osservando ciò che il referente era nella destinazione. Ecco i risultati:

  • Internet Explorer – Nessun referrer
  • Firefox – Nessun referrer
  • Chrome – Referrer: http://example.com/refresh.html
  • Safari – Referrer: http://example.com/refresh.html
  • Opera – Referrer: http://example.com/refresh.html

Nessuno dei browser ha mostrato http://example.com/page.html come referrer come farebbe con un reindirizzamento 301 o 302. Quindi il meta refresh può essere utilizzato in una certa misura per oscurare il referrer:

  • Nascondi la pagina specifica con il link
  • Rimuovere la stringa di query dal referrer
  • Se un sito di terze parti ha ospitato l’aggiornamento, hide il sito specifico collegato
  • Rimuovi il referrer esterno sul traffico in entrata (utile in situazioni come questa )