从 SSL 站点链接到非 SSL 站点时的 Referer 标头

Question

RFC 2616 中的第 15.1.3 节指出：

如果引用页面是使用安全协议传输的，客户端不应在（非安全）HTTP 请求中包含 Referer 标头字段

但是，我知道许多浏览器都有错误并且并不总是遵循规范，而且它只说不应该，而不是“不得”。所以我的问题是：

1）是否有任何浏览器（过去、现在或测试版）违反规范并且在从安全站点发出请求时发送引用标头
2）是否有任何工具、浏览器插件或任何方法可以修改浏览器以违反规范并在发出此类请求时发送引用标头
3）我可以在网络上的任何地方查看是否有任何官方的声音来源，或者来自安全专家的关于此问题的大量信息。

作为一些背景知识，这是我的应用程序安全审查的一部分，该应用程序通过 SSL 运行，并且规范是不应将引用信息发送到第 3 方网站。我的测试发现没有浏览器会在这种情况下发送引用标头，但我非常有信心我是对的。

Answer 1

默认情况下，在 Firefox 中，如果第 3 方站点通过 HTTPS，则将根据 network.http.sendSecureXSiteReferrer 选项（可通过地址栏中的 about:config 访问）。