De Wikipedia, la enciclopedia libre
  (Redirigido desde el referente HTTP )
Saltar a navegación Saltar a búsqueda
HTTP
Métodos de solicitud
Campos de encabezado
Códigos de estado
Métodos de control de acceso de seguridad
Vulnerabilidades de seguridad

El HTTP árbitro (a falta de ortografía de URL de referencia [1] ) es un opcional campo de encabezado HTTP que identifica la dirección de la página web (es decir, el URI o IRI se solicita), que está vinculado al recurso. Al verificar la referencia, la nueva página web puede ver dónde se originó la solicitud.

En la situación más común, esto significa que cuando un usuario hace clic en un hipervínculo en un navegador web , el navegador envía una solicitud al servidor que contiene la página web de destino. La solicitud puede incluir el campo de referencia, que indica la última página en la que estuvo el usuario (en la que hizo clic en el enlace).

El registro de referencias se utiliza para permitir que los sitios web y servidores web identifiquen desde dónde los visitan las personas, con fines promocionales o estadísticos. [2] Esto implica una pérdida de privacidad para el usuario y puede presentar un riesgo de seguridad .

El comportamiento predeterminado de la filtración de referencias pone a los sitios web en riesgo de violaciones de la privacidad y la seguridad. [3] Para mitigar los riesgos de seguridad, los navegadores han ido reduciendo constantemente la cantidad de información enviada en referer. A partir de marzo de 2021, Chrome, [4] Edge basado en Chromium, Firefox, [5] Safari [ cita requerida ] por defecto envían solo el origen en solicitudes de origen cruzado.

Etimología [ editar ]

El error ortográfico de referente se introdujo en la propuesta original del científico informático Phillip Hallam-Baker para incorporar el campo en la especificación HTTP . [6] El error ortográfico fue grabado en piedra en el momento de su incorporación en el documento de estándares de Solicitud de Comentarios RFC 1945; El coautor del documento, Roy Fielding, ha señalado que ni el "remitente" ni el "remitente" con errores ortográficos fueron reconocidos por el corrector ortográfico estándar de Unix del período. [7]"Referer" se ha convertido desde entonces en una ortografía ampliamente utilizada en la industria cuando se habla de referencias HTTP; Sin embargo, el uso del error ortográfico no es universal, ya que en algunas especificaciones web, como el Referrer-Policyencabezado HTTP o el Modelo de objetos de documento, se usa el "referente" ortográfico correcto . [3]

Detalles [ editar ]

Al visitar una página web, la referencia o la página de referencia es la URL de la página web anterior desde la que se siguió un enlace.

De manera más general, una referencia es la URL de un elemento anterior que condujo a esta solicitud. El referente de una imagen, por ejemplo, es generalmente la página HTML en la que se mostrará. El campo de referencia es una parte opcional de la solicitud HTTP enviada por el navegador web al servidor web. [8]

Muchos sitios web registran referencias como parte de su intento de rastrear a sus usuarios . La mayoría de los programas de análisis de registros web pueden procesar esta información. Debido a que la información de referencia puede violar la privacidad , algunos navegadores web permiten al usuario deshabilitar el envío de información de referencia. [9] Algunos software de proxy y firewall también filtrarán la información de referencia, para evitar filtrar la ubicación de sitios web no públicos. Esto, a su vez, puede causar problemas: algunos servidores web bloquean partes de su sitio web a los navegadores web que no envían la información de referencia correcta, en un intento de evitar los enlaces profundos o el uso no autorizado de imágenes ( robo de ancho de banda). Algunos programas de proxy tienen la capacidad de proporcionar la dirección de nivel superior del sitio web de destino como referencia, lo que reduce estos problemas pero, en algunos casos, puede divulgar la última página web visitada por el usuario.

Muchos blogs publican información de referencia para vincular a las personas que se vinculan a ellos y, por lo tanto, ampliar la conversación. Esto ha llevado, a su vez, al aumento del spam de referencia : el envío de información de referencia falsa para popularizar el sitio web del spammer.

Es posible acceder a la información de referencia en el lado del cliente utilizando document.referrer en JavaScript . [10] Esto se puede utilizar, por ejemplo, para individualizar una página web en función de la consulta del motor de búsqueda de un usuario. Sin embargo, el campo de referencia no siempre incluye palabras clave de búsqueda, como cuando se usa la Búsqueda de Google con https. [11]

Referente escondido [ editar ]

La mayoría de los servidores web mantienen registros de todo el tráfico y registran la referencia HTTP enviada por el navegador web para cada solicitud. Esto plantea una serie de problemas de privacidad y, como resultado, se han desarrollado varios sistemas para evitar que se envíe a los servidores web la URL de referencia real. Estos sistemas funcionan eliminando el campo de referencia o reemplazándolo con datos inexactos. Generalmente, las suites de seguridad de Internet dejan en blanco los datos de referencia, mientras que los servidores basados ​​en la web los reemplazan con una URL falsa, generalmente la suya. Esto plantea el problema del spam de referencia. Los detalles técnicos de ambos métodos son bastante consistentes: las aplicaciones de software actúan como un servidor proxyy manipular la solicitud HTTP, mientras que los métodos basados ​​en web cargan sitios web dentro de marcos, lo que hace que el navegador web envíe una URL de referencia de la dirección de su sitio web. Algunos navegadores web ofrecen a sus usuarios la opción de desactivar los campos de referencia en el encabezado de la solicitud. [9]

La mayoría de los navegadores web no envían el campo de referencia cuando se les indica que redireccionen mediante el campo "Actualizar". Esto no incluye algunas versiones de Opera y muchos navegadores web móviles. Sin embargo, el Consorcio World Wide Web (W3C) desaconseja este método de redirección . [12]

Si se accede a un sitio web desde una conexión HTTP segura (HTTPS) y un enlace apunta a cualquier lugar excepto a otra ubicación segura, el campo de referencia no se envía. [13]

El estándar HTML5 agregó soporte para el atributo / valor rel="noreferrer", que indica al agente de usuario que no envíe una referencia. [14]

Otro método de ocultación de referencias es convertir la URL del enlace original en una URL basada en el esquema de URI de datos que contiene una pequeña página HTML con una metaactualización de la URL original. Cuando se redirige al usuario desde la data:página, se oculta la referencia original.

La versión estándar 1.1 de la Política de seguridad de contenido introdujo una nueva directiva de referencia que permite un mayor control sobre el comportamiento del navegador con respecto al encabezado de referencia. Específicamente, permite al webmaster indicar al navegador que no bloquee la referencia en absoluto, que la revele solo cuando se mueva con el mismo origen, etc. [15]

Referencias [ editar ]

  1. ^ Gourley, David; Totty, Brian; Sayer, Marjorie; Aggarwal, Anshu; Reddy, Sailu (27 de septiembre de 2002). HTTP: la guía definitiva . ISBN 9781565925090.
  2. Kyrnin, Jennifer (10 de abril de 2012). "Referente - ¿Qué es un Remitente? ¿Cómo funcionan los Remitentes HTTP?" . About.com . Consultado el 20 de marzo de 2013 .
  3. ^ a b "¿Su sitio web tiene una fuga?" . Blog de ICO . 2015-09-16. Archivado desde el original el 24 de mayo de 2018 . Consultado el 16 de agosto de 2018 .
  4. ^ "Política de referencia: predeterminado a estricto-origen-cuando-origen-cruzado - Estado de la plataforma Chrome" . www.chromestatus.com . Consultado el 23 de marzo de 2021 .
  5. ^ Lee, Dimi; Kerschbaumer, Christoph. "Firefox 87 recorta las referencias HTTP de forma predeterminada para proteger la privacidad del usuario" . Blog de seguridad de Mozilla . Consultado el 23 de marzo de 2021 .
  6. Hallam-Baker, Phillip (21 de septiembre de 2000). "Re: ¿Es Al Gore el padre de Internet?" . alt.folklore.computers . Consultado el 20 de marzo de 2013 .
  7. Fielding, Roy (9 de marzo de 1995). "Re: referer: (sic)" . ietf-http-wg-old . Consultado el 20 de marzo de 2013 .
  8. ^ "Protocolo de transferencia de hipertexto (HTTP / 1.1): semántica y contenido (RFC 7231 § 5.5.2)" . IETF . Junio ​​de 2014 . Consultado el 26 de julio de 2014 . El campo de encabezado "referrer" [sic] permite al agente de usuario especificar una referencia de URI para el recurso del que se obtuvo el URI de destino […]
  9. ^ a b "Network.http.sendRefererHeader" . MozillaZine . 2007-06-10 . Consultado el 27 de mayo de 2015 .
  10. ^ "Propiedad de referencia del documento HTML DOM" . w3schools.com . Consultado el 20 de marzo de 2013 .
  11. Gundersen, Bret (19 de octubre de 2011). "El impacto de la búsqueda cifrada de Google" . Blog de marketing digital de Adobe . Consultado el 17 de marzo de 2021 .
  12. ^ "Técnicas HTML para las pautas de accesibilidad de contenido web 1.0: El elemento META" . W3C . 2000-11-06 . Consultado el 20 de marzo de 2013 .
  13. ^ "Protocolo de transferencia de hipertexto (HTTP / 1.1): Semántica y contenido: referencia (RFC 7231 § 5.5.2)" . IETF. Junio ​​de 2014 . Consultado el 26 de julio de 2014 . Un agente de usuario NO DEBE enviar un campo de encabezado de referencia en una solicitud HTTP no segura si la página de referencia se recibió con un protocolo seguro.
  14. ^ "4.12 Enlaces - HTML Living Standard: 4.12.5.8 Tipo de enlace" noreferrer " " . WHATWG . 2016-02-19 . Consultado el 19 de febrero de 2016 .
  15. ^ "Nivel de política de seguridad de contenido 2" . W3. 2014 . Consultado el 8 de diciembre de 2014 .

Enlaces externos [ editar ]

  • RFC 7231: Protocolo de transferencia de hipertexto (HTTP / 1.1): Semántica y contenido
  • RFC 3987: Identificadores de recursos internacionalizados (IRI)
  • Política de referencias - Borrador del editor del W3C