Ha a sutikre minden weboldal felhivja a figyelmet EU dontese miatt, akkor a referereket miert nem tiltjak be?

Ezért van a GDPR - az adatkezelőnek tájékoztatási kötelezettsége van (lásd adatvédelmi nyilatkozat) arról, hogy milyen adatot kezel (ide nemcsak a süti tartozik, hanem minden más is) a felhasználóiról és törölnie kell azokat ha azt a felhasználó kéri; illetőleg az is benne foglaltatik, hogy hogyan kell kezelni a 3. félnek való adattovábbítást.

A Firefox a 87-es verziótól kezdve például csonkolja a Referer kérés HTTP-fejléceket:

[link]

illetve fogadó oldalról létezik a Referrer-Policy válasz HTTP-fejléc:

[link]

amivel a weboldal tulaja kontrollálhatja a külső oldalról jövő látogatók Referer fejléc válaszát (Firefox 2016-2017 óta támogatja ezt).

De akár böngészőből is kezelhető, vannak erre kiegészítők:

* [link]

* [link]

HTTP Referer csak akkor van, ha átkattintasz.

Tehát az előző oldalon volt link, amivel megnyitottad.

Ha böngésző címsorából, vagy könyvjelzőből nyitod meg akkor nem kapja meg.

"HTTP Referer csak akkor van, ha átkattintasz."

Nem csak akkor. ;(

Alapértelmezés szerint bármelyik

<a>, <area>, <img>, <iframe>, <script>, vagy <link>

elem használata esetén elküldi a kiszolgáló szervernek a Referer fejlécet a böngésző.

#7: Na és hogy tesztelted?

Mert én gyorsan összedobtam Pythonban egy kis "webszervert":

https://pastebin.com/4eVSVhCB

ami kiszolgál egy statikus HTML-fájlt:

https://pastebin.com/W7SPMH7C

aminek van egy favicon-ja, stíluslapja, megnyílik benne egy tetszőleges kép, audiofájl, soron belüli keretben egy szöveges fájl, és egy egyszerű kis Javasscript kód:

https://pastebin.com/H43t6Fr7

az oldal sikeres betöltődése után "rákattint" a képtérképben és a szövegben található linkekre (betöltve azok tartalmát egy-egy soron belüli keretbe).

Mindeközben a szerver "figyeli" a böngésző által, az állományok megnyitásakor küldött Referer HTTP kérés-fejléceket és naplózza azokat.

Nálam - Linux Mint XFCE 20 alatt - három böngészőben (Firefox 88.0, Chromium 90.0.4430.212, Opera 76.0.4017.123) tesztelve (mindegyikben a http://test.local:8000 címet - vagyis a statikus oldalt - nyitottam meg, a test.local domain a /etc/hosts állományban lett beállítva a gép belső hálózati címére) az alábbi naplót produkálta:

https://pastebin.com/d7UnrNiM

látható, hogy az összes, a statikus oldalból meghívott erőforrás Referer-je a statikus oldal.

Vagyis bebizonyítottuk, hogy az

"<a>, <area>, <img>, <iframe>, <script>, vagy <link>"

ja és az <audio> elemben hivatkozott erőforrásoknak elküldi a Referer fejlécet a böngésző. Q.E.D.

A sütis figyelmeztetés nem arról szól, hogy tilos sütizni, hanem hogy szólni kell róla. Más kérdés, hogy mindenki máshogy implementálja a felületen, és megint más, hogy valójában ki mit tart be belőle.

Szerintem pont fordítva sült el a puska... kb úgy, mint amikor a havonta cserélendő jelszót folyton elfelejtik, ezért kiírják a monitorra kis cetlire. Pozícióban levő hülyék hoznak fontos döntéseket, mi meg szívunk vele. Idióta világ, ez van.

#8-as ezt egy kicsit túlbonyolítottad, és nem azt tesztelted, ami a kérdés volt :)

legyen két eset:

- első eset: megnyitok egy pornó oldalt, az oldalon van egy link a facebookra. Rákattintok, a facebook megkapja refererben a pornó oldal címét

- 2. eset: megnyitok egy pornó oldalt, de nem kattintok a facebook linkjére, hanem simán a címsorba beírom hogy facebook.com, és Enter. Ebben az esetben a facebook NEM kapja meg refererben a pornó oldal címét.

Te tök mást teszteltél, mégpedig azt, hogy az oldalon belüli elemek megkapják refereben a fő oldal címét :)