从Https跳转到Http时不传递HTTP_REFERER的解决方案

问题场景

当http页面通过Referer获取上一个页面的URL时，如果上一个页面是https，则得到的Referer为空。

例如在http页面的PHP代码中使用：$_SERVER['HTTP_REFERER']

得到的结果是：NULL

原因

根据RFC文档：HTTP/1.1: Security Considerations

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.

在Https -> Http的过程中Referer是不被传递的，而在 Https -> Https 或 Http -> Https 则没有这样的问题。

解决方案

1、Https端解决方案

增加一个Meta头信息，来建议浏览器发送Referer，这并不是HTTP强制要求的，不排除有个别浏览器不去这么做。

2、Http端解决方案

只用将全站升级成Https，否则没有办法。

总结

总的来说出现这个问题是HTTP安全性的结果，可以防止Https页面信息以明文暴露出来。综合考虑增加Meta只能作为临时方案（因为牺牲了安全性），长远打算还是将全站升级成Https吧，毕竟Https才是未来。