リファラーヘッダーがデフォルトで「同じオリジン」を使用しないのはなぜですか?
同一生成元ポリシーはセキュリティモデルの重要な部分であるため、ほとんどの場合、デフォルトで「オン」になっていますが、リファラーではそうではないようです。ブラウザーのデフォルトはno-referrer-when-downgradeのようですが、実際には「常にオン」に近いので、誰もがTLSを使用していると思います。
おそらくsame-Originは、URLを第三者に漏らさないので、より安全な選択でしょうか?
だから、そのための正当な理由があるのだろうか?
それは広告にとって非常に重要であるか、または歴史的にそうであり、誰もそれを変更したくないと思います。
Refererは本当に古いHTTPリクエストヘッダーであり、リファラーポリシーのアイデアよりもはるかに古いものです。物事を壊すのを恐れて、デフォルトの振る舞いは従来の振る舞い、つまりほとんど常にオンです。悪いと見なされても古いデフォルトを維持することは、たとえばContent-Security-Policy(デフォルト:XSSを可能にするすべてを許可します)またはCookieフラグSecure(デフォルトは安全ではありません)、HttpOnly(デフォルト:JavaScriptから読み取ることができるため、XSSを使用したセッション盗用が可能になります) )、SameSite(安全でないデフォルトはCSRFに役立ちます)など.