こないだ、職場で調べてて知ったので、備忘としてメモ。

タイトルの通りなんだけど、最近主流のブラウザでは、SSL保護下のページから非SSLのページへ遷移する際は、refererを送出しないようだ。

情報ソース：
http://support.microsoft.com/kb/178066/ja

他にも、FirefoxやSafariで動作確認をまとめたページを以前みつけたんだが、メモするの忘れて行方不明。見つけたら後で追記する。

なんでこの件に気づいたかというと、
某案件で、キャンペーンページを貼った時に、なぜかそのキャンペーンページからの流入がほとんど無くて、
よくよく調べてみたら、そのキャンペーンページが無意味に*1SSL保護されてた、というオチ。f(^^;;;

それにしても何故この条件に限りrefererが飛ばないんだろうか？
やっぱセッションIDをGETで引き回してたときに危ないから？
・・・それなら別に非SSLでも危ないと思うんだが・・・被害の深刻度が違うから、最低限SSL→非SSLの時はふさぐ・・・ってことなんだろうか？
このあたりの「何故」の部分、ご存じの方いたら教えてください。