Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les « requêtes HTTP » sont le « cheval de Troie »
de la « charge utile » que sont les « entêtes HTTP »

Les « requêtes HTTP » sont le « cheval de Troie » de la « charge utile » que sont les « entêtes HTTP »
Tout est bon pour provoquer des requêtes HTTP afin de permettre cet espionnage pudiquement appelé tracking, le truc qu'il faut bloquer/interdire.

« Referrer » est un terme anglais courant, le terme français « Référent » n'étant quasiment pas utilisé.

La faute d'orthographe

Une faute d'orthographe, courante en anglais, s'est glissée jusque dans les spécifications officielles du W3C (l'organisme de gouvernance du Web) qui édite/dicte/édicte les « recommandations de fonctionnement du Web » sous formes de RFC ayant force de standards. « Referrer » y a été écrit avec un seul « r » : « Referer ».

Le W3C est dirigé par l'inventeur du Web, Sir Tim Berners Lee.

Le champ lui-même (la zone dans les « entêtes HTTP ») s'appelle donc officiellement « Referer ».


Le « Referrer » est le nom d'un champ (une zone) de l'entête des Requêtes HTTP, sur le Web, qui identifie l'URL (l'adresse, l'URI, le lien hypertexte) qui a été à l'origine d'une demande d'accès à une ressource. En gros, lorsque vous atterrissez sur une page Web, celle-ci (son serveur) sait d'où vous venez (parmi bien d'autres informations), ou si la page Web que vous visitez contiend des appels à des objets Web (images, vidéos, sons, documents texte ou PDF..., scripts, web-bug, publicités, etc.), tous les serveurs de tous ces objets savent de quelle page à telle adresse IP viennent ces appels à ces objets Web (donc qui vous êtes et sur quelle page vous êtes, quelle page vous visitez).

Le « Referrer » est d'un usage qui peut sembler, techniquement, totalement anodin, utile et légitime. Par exemple, il permet à votre navigateur Web de vous faire revenir à la page précédente lorsque vous cliquez, dans votre navigateur, sur le bouton « Reculer d'une page ».

Lorsque vous naviguez sur les Web :

  • Vous passez à une troisième page Referrer (Referer) la seconde sait d'où vous venez.

  • Vous passez à une quatrième page Referrer (Referer) la troisième sait d'où vous venez.

  • Vous passez à une cinquième page Referrer (Referer) la quatrième sait d'où vous venez.

  • Vous passez à une sixième page Referrer (Referer) la cinquième sait d'où vous venez.

  • Vous passez à une septième page Referrer (Referer) la sixième sait d'où vous venez.

  • Etc., etc., etc.

C'est le Clickstream - « Flux de clics » - « Votre flux de clics »

C'est la surveillance absolument constante, par des milliers de surveillants/trackers, la collecte et l'enregistrement de tous vos mouvements sur le Web, depuis la première fois que vous vous y êtes connecté. Avec la totalité des autres informations sur vous et votre appareil contenues dans les entêtes des Requêtes HTTP, -

Epier/surveiller chaque internaute - Tout ce à quoi vous vous intéressez, ils le savent.

Vous visitez 200, 300, 500 pages par jour (probablement plus de 1000 par jour pour certains, comme moi).

Bon ! Et alors ?

Et alors ?... Les opérateurs du Web cherchent à être présents dans tous les sites Web du monde. Par exemple, vous ne pouvez échapper à Google et son Principe d'encerclement, ou à Microsoft et son principe d'encerclement, ou à Apple et son principe d'encerclement, etc. Pour une raison ou pour une autre, les opérateurs du premier cercle du pouvoir sont présents partout, à tous les étages.

Et alors, direz-vous !

Et alors ?... Vous avez entendu parler des GUID ? Ce sont des identificateurs uniques liés à votre matériel et à vos logiciels. Quelle que soit votre méthode de navigation sur le Web, même si vous saisissez l'adresse (URL) où vous voulez aller dans la barre d'adresse de votre navigateur Web, pour échapper au « Referrer » (il n'y a pas de « Referrer » dans ce cas), le GUID vous rattrape et de nombreux opérateurs du Web vous suivent à la trace et reconstituent la totalité de votre navigation. Ils trouvent même que les cookies sont trop combattus et ne sont plus d'aucune utilité. Ils ont inventé le fingerprinting.

Et alors, me direz-vous ?

Et alors ?...

Dans toutes vos pages visitées, aujourd'hui, ces derniers jours, mois, années... depuis que vous vous êtes connecté sur le Web la première fois, il y a des années, pages que des centaines d'opérateurs connaissent et conservent dans des bases de données illimitées et se vendent et s'achètent entre eux, il ressort que :

  • Vous avez visité plusieurs pages traitant du sida, de ses thérapies, de l'hôpital Gustav Roussy à Villejuif, de Sida Info Service, de molécules farfelues prétendant guérir du sida, etc. D'innombrables opérateurs du Web en déduisent, par analyse de votre navigation, que vous avez le Sida. Un employeur peut acheter cette information et rejeter votre candidature. Une compagnie d'assurances peut acheter cette information et ne pas prendre le risque de vous assurer. Un conjoint potentiel peut acheter cette information et répondre « Non ». Votre progression de carrière peut être détruite. Vos cercles de connaissances peuvent s'évaporer. Etc. Parceque vous avez été profilé.

  • Depuis plusieurs jours, mois, etc. vous visitez des sites de recettes de cuisines, ou de produits alimentaires cacher. Vous pouvez être juif ou musulman. Mais vous ne faites jamais de connexion Internet le samedi (du vendredi soir au samedi soir). Vous êtes juif.

  • Depuis plusieurs jours, mois, etc. vous visitez des sites de casting pour enfants. Vous pouvez avoir des enfants et vouloir les faire connaître et reconnaître dans les métiers du spectacle/cinéma, etc. Oui, mais, vous fréquentez aussi des sites pornographiques avec, dans les pages visitées, des mots clés comme « Teen » etc. Vous êtes probablement un déviant sexuel, voire un pédophile à surveiller.

  • Des explosifs, armes, munitions, plans de fabrication d'explosifs, etc. Terroriste !

  • Des drogues, etc. Drogué !

  • Des produits culinaires professionnels, etc. Chef de cuisine !

  • Du viagra, etc. impuissant !

  • Des retardateurs, huiles, vibro, préservatifs, etc. Actif !

  • Des caméras invisibles, des sites pornos, etc. Voyeur !

  • Des médicaments anti-cholestérol, des appareils de mesure du taux de cholestérol, des régimes et aliments anti-cholestérol ou 0%, etc. Personne à risque : ne pas assurer ou majorer sa prime d'assurance... Le métier des assureurs/assurances n'est pas de couvrir un risque mais de ne pas prendre de risque afin de salarier des actionnaies.

  • Des médicaments anti-diabète, des appareils de mesure du taux de sucre, des régimes et aliments anti-diabète ou sans sucre, etc. Personne à risque : ne pas assurer ou majorer sa prime d'assurance...

  • Vous vous étalez et faites votre profil vous-même sur un site de rencontre. Vous êtes immédiatement la cible d'escrocs, la victime d'escroqueries à la romance, d'escroqueries aux marabouts, voyants, abus de faiblesse, etc.

  • Etc.
    Vous pouvez tout imaginer, et surtout imaginer que cela se retourne contre vous. Et nous ne parlons pas de vos bavardages sur les réseaux sociaux, qui révèlent vos cercles de connaissances, votre niveau intellectuel, votre niveau socioculturel, votre classement CSP+ CSP CSP- (Catégories socioprofessionnelles), vos photos publiées avec leurs données EXIF et les reconnaissances faciales que pratiquent de nombreux opérateurs du Web, etc.

Le « Referrer », c'est une partie de votre vie privée qui s'étale et, comme votre vie et de plus en plus virtuelle, sur le Web, c'est toute votre vie qui s'étale (pensez aux dégats des signaux de tous les appareils connectés, signaux non chiffrés, faciles à capter et capturer et appareils non protégés).

Et le « Referrer » dans tout ça ? En fait, qu'est-ce que c'est ?

Le Web fonctionne, sur le réseau Internet, dans un mode dit « Client / serveur ».

Dans le cas le plus connu, il s'agit d'une interaction entre un utilisateur internaute qui, avec son client de navigation (Firefox, Microsoft Internet Explorer, Microsoft Edge, Opera, Google Chrome, Safari, K-Meleon,, etc.) ou son client de messagerie (Thunderbird, IncrediMail, etc.), clique sur un lien pour aller ailleurs sur le Web. Chaque fois que vous cliquez sur un lien, pour consulter une page Web, votre navigateur, appelé le « client », va chercher cette page sur un ordinateur distant, appelé le « serveur » : il fait une « requête ». Il n'y a pas que les navigateurs qui font cela :

  • Toutes les applications connectées font des « requêtes » et sont, à un moment donné, « clientes ».

  • Il n'y a pas forcément une interaction entre un utilisateur et le Web. Des applications peuvent faire des « requêtes », qui seront de la même forme (recommandation du W3C), de leur propre chef. Votre antivirus, par exemple, fait une « requête » de mise à jour de sa base de signature toutes les 10 ou 15 minutes.

Une page Web est constituée d'énormément d' « objets » (images, sons, scripts, APIs, vidéos, fichiers, Web-Bug, boutons « J’aime », feuilles de style, frameworks divers, publicités, statistiques pour le webmaster, etc. ...) qui se trouvent sur le même serveur ou sur des « serveurs tiers ». Chaque appel à l'un de ces objets se fait par une « requête » au serveur détenant la ressource.

Une page Web envoie donc énormément de requêtes à énormément de « serveurs », l'un étant le serveur de la page visitée et tous les autres des « serveurs tiers », un peu partout dans le monde, on ne sait où, appartenant à on ne sait qui.

Pour des raisons historiques de développement, test et mise au point du Web, diverses informations sont « passées », par le client, dans chaque « requête ». l'une de ces informations est l'URL (l'adresse sur le Web) de la page Web d'où vient la « requête » (« Coucou, je suis la page « http://monpetitsite.fr/page truc bidule.html », c'est moi qui fais cette requête et, s'il y a un problème, vous pouvez remonter jusqu'à moi pour chercher l'erreur »). Savoir d'où vient la « requête » est très utile dans ce cas là.

Il a vite été découvert d'autres utilités, d'autres intérêts à la présence systématique de cette information :

  • Un webmaster développe un site, le dépose sur un serveur, et fait prendre note, par le serveur, de toutes les pages du Web qui pointent vers son site. Ceci permet au webmaster de savoir quels sites du Web parlent de son site. Très précisément, cela permet au webmaster de suivre ces liens pour lire ce qui est dit/écrit à propos de son site et s'en servir pour répondre, ou, au contraire, pour corriger / compléter son propre site, etc. Ceci sert en SEO et Webmastering.

  • Pour des raisons de contrôle d'accès, un webmaster peut ne donner accès à son site, ou à certaines de ses pages, qu'à partir du moment où le visiteur vient d'une liste restrictive d'URLs. Le « Referrer » est alors comparé à cette liste restrictive et les requêtes non conformes sont rejetées.

  • Un Webmaster peut demander au serveur de son site de noter dans un journal les erreurs de type 404 (la page/la ressource demandée sur son site n'est pas trouvée/n'existe pas) afin de savoir quelles pages, sur le Web, font des erreurs de liens ou quels objets n'ont pas été uploadés sur le serveur. Le webmaster écrira alors aux Webmasters de ces autres sites pour les inciter à corriger les liens erronés (ce qui est important en SEO).

  • Etc.

Où est le problème (où sont les problèmes) ?

Il y a deux problèmes :

  • La surveillance (de tous les internautes du monde)

  • La solution technique pour arrêter cette surveillance

En cas d'interaction entre un internaute et le Web, par navigateur interposé, l'internaute dit, à son insu : j’étais en train de lire cette page juste avant de demander à aller sur telle autre.

Il tombe sous le sens que si un individu se pointe derrière votre épaule et vous colle à la peau, même 1 minute, pour noter ce que vous lisez dans le journal (vos intérêts politiques, économiques, people, nouvelles technologies, sports, arts culinaires, concerts, spectacles, nécrologie, santé, voyages, manifestations et grèves, religions, etc.), ce que vous consommez (dans votre assiette, verre, etc.), ce que vous regardez (à la télévision, au cinéma, dans une salle de concert, à l'opéra, dans un cafconc, dans la rue, etc.), à quel temple, église, synagogue, mosquée vous allez, les personnes que vous rencontrez, les discussions que vous avez, les médicaments que vous achetez, les médecins que vous allez voir (géolocalisation à quelques centimètres près), les hôpitaux où vous allez, les magasins où vous entrez (programmatique), etc. :

  1. Cet individu tente de savoir ce à quoi vous vous intéressez, vos maladies, vos habitudes, votre catégorie socioprofessionnelle, tout de vous...

  2. Vous lui fichez votre poing dans la figure, vous lui arrachez son matériel avec lequel il prend ses notes sur vous et vous le détruisez

Normal, non ! Tout cela ressemble aux surveillances exercées par les anciens RG, à de l'espionnage, de la prise en filature, et est inadmissible.

Sur le Web, avec le « Referrer », ce sont des centaines de serveurs (et donc des centaines de propriétaires de ces serveurs, des inconnus on ne sait où), qui prennent ces notes, en temps réel, en continu, 24/24 365/365.

Est-ce parce que c'est silencieux, invisible, qu'il faut laisser faire ? Car, avec les centaines de pages visitées chaque jour, tout cela noté depuis le premier jour où vous vous êtes connecté sur le Web, tous ces gens analysent le moindre de vos faits et gestes, le moindre de vos centres d'intérêt, le moindre de vos états (mental, santé, situation financière, amis, connaissances, relations professionnelles, risques, désirs, catégorisation sociale, catégorisation professionnelle (CSP), penchants, déviances, fragilités, faiblesses, malléabilité, religions, haines, etc.).

Ils vous connaissent mieux que vous ne vous connaissez vous-mêmes, mieux que votre mère ne vous connaît.



La communication des « Referrer » est l'une des plus graves atteintes à la vie privée. Ce risque et cette violation sont connus de longue date :

De nombreux documents, appelés RFC, depuis près de 25 ans lors de la rédaction de cet article (2016), font état de cette atteinte à la vie privée.

1992 - HTTP Request fields

En 1992 (Lire : WWW - Le Web vient de naître le 06 août 1991 et Naissance du Web), c'est très simple : le champ « Referrer » est, purement et simplement, optionnel ! Champs des requêtes HTTP en 1992. On peut voir également Header field définitions dans la RFC 2616 de juin 1999.

"This optional header field allows the client to specify, for the server's benefit, the address ( URI ) of the document (or element within the document) from which the URI in the request was obtained.

This allows a server to generate lists of back-links to documents, for interest, logging, etc. It allows bad links to be traced for maintenance.

If a partial URI is given, then it should be parsed relative to the URI of the object of the request.

Example:
Referer: http://www.w3.org/hypertext/DataSources/Overview.html"

Traduction d'Assiste
« Ce champ d'entête optionnel permet au client (ndlr : le navigateur Web utilisé) de préciser, à l'usage du serveur, l'adresse ( URI ) du document (ou d'un élément à l'intérieur du document) à partir duquel l'URI dans la requête a été obtenue.

Cela permet à un serveur de générer des listes de rétro-liens (ndlr : liens entrants, la collection de ces liens constituant les clickstream) vers des documents, pour analyse, contrôle d'accès, etc. Cela permet de tracer les liens erronés dans le cadre de la maintenance.

Si une URI partielle est donnée, alors elle devrait être analysée par rapport à l'URI objet de la demande. »


1996 - RFC 1945 du mai 1996 - Protocole HTTP - Referrer

Si on lit la « RFC 1945 » (protocole HTTP) de mai 1996, du W3C, qui a valeur de norme de fonctionnement du Web, page 44, section 10.13 : Referrer, il est écrit en toutes lettres :

Because the source of a link may be private information or may reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Traduction Assiste :
« Dans la mesure où l'origine d'un lien peut être une information privée ou peut révéler une information qui, par ailleurs, serait privée, il est fortement recommandé que l'utilisateur soit en mesure de choisir si oui ou non le champ Referrer doit être envoyé. Par exemple, un navigateur pourrait disposer d'un commutateur pour opter entre une navigation Web révélée/anonyme, qui permettrait, respectivement, d'autoriser/d'interdire l'envoi des informations « Referrer » et « From » ».

Nota : le champ « From » contient, généralement, l'adresse eMail de l'expéditeur d'un message électronique, lors de l'utilisation d'un client de messagerie, afin que le destinataire puisse répondre. Ce champ peut être « Forgé » (contenir une information « bidon », comme dans les cas de spam, lorsqu'aucune réponse n'est attendue, afin de masquer l'expéditeur).


janvier 1997 - RFC 2069 - HTTP et authentification sécurisée

En janvier 1997, Phillip Hallam-Baker (l'auteur de la faute « Referer » avec un seul « r »), avec d'autres, rédige la RFC 2069.

Alteration of Referer or From is not important, as these are only hints.

Traduction d'Assiste
« L'altération du Referrer ou de From n'a pas d'importance, car ceux-ci ne sont que des remarques. »


Juin 1999 - Hypertext Transfer Protocol - HTTP/1.1
Chapitre 15 - Security Considerations

Encore plus clair : RFC 2616 de juin 1999, chapitre 15. Le « Referrer » est une donnée sensible !

Le paragraphe 15.1.2 précise qu'il s'agit d'informations sensibles.

Le paragraphe 15.1.3 déclare que les entêtes HTTP ne doivent jamais contenir de « Referrer » si la connexion n'est pas sécurisée (n'est pas en HTTPS).


Juin 2014 - Standard produit par l'IETF

RFC 7231 de juin 2014, page 45
Cette remarque, dans un standard, permet une astuce « légale » pour masquer le Referrer - nous en parlons dans le paragraphe sur les contre-mesures côté utilisateur.

"If the target URI was obtained from a source that does not have its own URI (e.g., input from the user keyboard, or an entry within the user's bookmarks/favorites), the user agent MUST either exclude the Referer field or send it with a value of "about:blank".

« Si l'URI cible est obtenue d'une source qui n'a pas son URI propre (par exemple, saisie à partir du clavier de l'utilisateur, ou un élément des favoris / marque-pages de l'utilisateur), l'agent utilisateur (ndlr : le navigateur Web utilisé) DOIT soit exclure le champ Referer ou l'envoyer avec la valeur "about:blank"

ndlr : c'est Assiste qui surligne en rouge.


Dans ces paragraphes, ce n'est pas tant l'aspect technique qui nous intéresse, que la répétition, sans cesse, que le champ « Referrer » contient une donnée sensible, privée, présentant des dangers si elle est transmise.

"The Referer field has the potential to reveal information about the request context or browsing history of the user, which is a privacy concern if the referring resource's identifier reveals personal information (such as an account name) or a resource that is supposed to be confidential (such as behind a firewall or internal to a secured service). Most general-purpose user agents do not send the Referer header field when the referring resource is a local "file" or "data" URI. A user agent MUST NOT send a Referer header field in an unsecured HTTP request if the referring page was received with a secure protocol."

« Le champ Referer est susceptible de révéler des informations à propos du contexte de la requête, ou l'historique de navigation de l'utilisateur, ce qui est un problème de « vie privée » si l'identifiant de la ressource référant révèle des informations personnelles (comme le nom d'un compte) ou une ressource qui est censée être confidentielle (telle que derrière un pare-feu ou interne à un service sécurisé). La plupart des agents utilisateurs (ndlr : le navigateur Web utilisé) généralistes (ndlr : il existe énormément de navigateurs spécialisés) n’envoient pas le champ d'entête « Referer » lorsque la ressource référent est un « fichier » local ou une URI de "données". Un agent utilisateur (ndlr : le navigateur Web utilisé) NE DOIT PAS envoyer un champ d'entête « Referer » dans une requête HTTP non sécurisée si la page de référence a été reçue avec un protocole sécurisé (ndls : HTTPS). »

ndlr : c'est Assiste qui surligne en rouge.



Avec le champ « Referrer », la fondation Mozilla (éditrice du navigateur Web Firefox) a tenté de mettre en place ce commutateur « autorisation/opposition » avec le switch « DNT - Do Not Track ». Mais cela s'est heurté à un tollé, une levée de boucliers, une hostilité débridée de la part de tous les opérateurs de tracking et collecte/rétention de données privées du Web (dont les publicistes qui sont et font le modèle économique du Web).

« DNT - Do Not Track » a alors été fait de telle manière qu'il ne soit plus « actif » (comme peut l'être une demande de retrait d'un numéro de téléphone des annuaires téléphoniques), mais exprime simplement un souhait de l'internaute. Le respect de l'application de ce souhait est entre les mains des opérateurs des serveurs et serveurs tiers. Cela devient une histoire de « confiance » dans le respect des choix des internautes par ces opérateurs, or les opérateurs ont carrément dit qu'ils ne le respecteraient pas. Après des années de tergiversations, « DNT - Do Not Track » est toujours en discussions et, dans la réalité, est totalement dans l'impasse (DNT n'a jamais existé et n'existe plus).

Ont été avancés, de manière publique, ou dans le cadre de commissions très discrètes :

  • Une nécessité économique :
    La publicité est le seul modèle économique du Web, il n'y en a pas d'autre (mis à part le Web marchand). Le « Referrer » permet la surveillance et l'espionnage des internautes (enfin... ce n'est pas dit en ces termes) afin d'affiner leur profils et donc de délivrer des messages publicitaires mieux ciblés : une meilleure économie du Web.

  • Une nécessité sécuritaire :
    La surveillance de tous les citoyens de tous les pays du monde, après le 11 septembre, conformément aux Constitutions, qui font obligations aux gouvernants de protéger les citoyens. Les NSA et toutes les agences de l'ombre de tous les pays du monde s'en délectent. En plus, dans les dictatures et les hyper capitalismes (pays communistes), c'est la chappe de plomb et la censure totale au prétexte de sécurité nationale et de pensée unique (mensonges, tromperies et oeillères).

La confiance est vraiment la dernière chose à laquelle on peut s'attendre sur le Web.

Les sites ont déclaré ouvertement qu'ils ne respecteraient pas « DNT - Do Not Track ».

Les « RFC » du W3C ont peut être, dans la pratique, valeur de « normes » du Web, mais elles restent des « recommandations ». Elles n'emportent aucune obligation, et, surtout, elles ne contraignent pas et n'appliquent pas de sanctions.

Donc, pour que l'internaute ait réellement ce contrôle sur les « Referrers » il doit se prendre en charge lui-même et installer, dans son navigateur, un commutateur permettant de s'opposer à l'envoi d'informations concernant sa vie privée.

Il faut toutefois savoir que certains sites s'opposent totalement à l'absence de « Referrer » :

  • Officiellement pour contrôler des choses comme l'utilisation de leurs images dans d'autres sites (afin de préserver leurs hébergements et leur bande passante)

  • Officieusement, car la surveillance et l'espionnage des internautes permet d'affiner leurs profils et donc de délivrer des messages publicitaires mieux ciblés, plus efficaces.

  • Silencieusement, car la surveillance et l'espionnage de tous les citoyens du monde est le Graal des NSA et Cie (tous les pays du monde ayant leur équivalent NSA).





L'utilisateur peut installer une extension gérant la privacité du contenu du champ Referrer, par exemple en le tronquant au nom du domaine seul, sans le nom complet de l'URL, ou en le remplaçant par une valeur légale, comme « about:blank ». Seul le client (celui qui fait la requête à un serveur : le navigateur Web) doit être autorisé à faire cela, d'une manière bien maîtrisée par l'utilisateur. Aucun proxy ou autre dispositif intermédiaire ne doit interférer.


Juin 2014 - Standard produit par l'IETF

RFC 7231 de juin 2014, page 45.

« Some intermediaries have been known to indiscriminately remove Referer header fields from outgoing requests. This has the unfortunate side effect of interfering with protection against CSRF - Cross-Site Request Forgery attacks, which can be far more harmful to their users. Intermediaries and user agent extensions that wish to limit information disclosure in Referer ought to restrict their changes to specific edits, such as replacing internal domain names with pseudonyms or truncating the query and/or path components. An intermediary SHOULD NOT modify or delete the Referer header field when the field value shares the same scheme and host as the request target. »

Traduction d'Assiste
« Certains intermédiaires sont connus pour éliminer aveuglément les champs Referer des entêtes des requêtes sortantes. Cela a un effet collatéral malheureux en interférant avec la protection contre les attaques CSRF - Cross-Site Request Forgery, qui peuvent alors être beaucoup plus dangereuses à leurs utilisateurs. Intermédiaires et extensions de l'agent utilisateur (ndlr : essentiellement les extensions ajoutées aux navigateurs Web utilisés ou tout autres agents de l'utilisateur) utilisés pour limiter la divulgation d'informations par le « Referer » devraient restreindre leurs modifications à des modifications spécifiques, telles que le remplacement des noms de domaine interne par des pseudonymes ou tronquer la requête et/ou les composants de chemin d'accès. Un intermédiaire NE DEVRAIT PAS modifier ou supprimer le champ Referer des entêtes lorsque la valeur du champ partage le même schéma et hôte que la cible de la requête. »



Note :
Un webmaster peut parfaitement demander à ce que ses requêtes HTTP vers des serveurs externes (autres que son propre serveur) ne contiennent pas de referrer (ceci est légal depuis HTML 5). Il suffit d'écrire (attention : referrer avec 2 « r » contrairement à la faute historique du nom du champ, dans l'entête et dans la RFC, qui est écrit avec un seul « r ») :
Lien sans referrer
<a title="#" rel="noreferrer" href="https://quelquepart.com" target="_blank">Lien sans referrer</a>



  • Referrer - page d'origine dans toutes les requêtes HTTP