Hi,

ich habe ein Problem mit einem Redirector-Script, das verhindern soll, dass von PHP-Seiten aus über externe Links die Session-ID im Referer übertragen wird (Sicherheitsproblem).

Dazu wird bei jedem externen Link ein Redirector-Script aufgerufen, das auf den Referer ohne die Session-ID zurückzeigt. Wenn dort dann nicht die ursprüngliche Page, sondern nur ein Link zum Ziel generiert wird, bekommt die Ziel-Page den richtigen Referer ohne Session-ID im HTTP-Header übertragen.

Natürlich soll der User dann nicht per Hand auf einen weiteren Link klicken müssen, sondern soll automatisch weitergeleitet werden.

Hier folgt das eigentliche Problem:
Per HTTP-Redirect wird nicht die aktuelle URI als Referer übertragen, sondern die letzte URI davor.
Per Javascript (location.href sowie location.replace) wird GAR KEIN Referer üertragen.
Wenn man ein Formular mit action="Ziel-URI" generiert und dieses per Javascript beim onload automatisch submittet, funktioniert es, aber bei GET werden keine dynamischen URIs aufgerufen, die ihrerseits wiederrum ein GET erwarten, bei POST werden Pages auf manchen Servern nicht geladen (weil sie keinen Aufruf per POST unterstützen).

Gibt es irgendeine Möglichkeit einer Weiterleitung, bei der die aktuelle URI als Referer übertragen wird und die auch bei ALLEN Zielen funktioniert?

Danke für die Hilfe
---
Neo