Wir sind nur überrascht, dass der einfach so komplett (also inkl. Parametriesierung) übertragen wird von den lieben netten Browsern.

Wenn sich die Parameter im Querystring zweier URLs unterscheiden, handelt es sich um zwei verschiedene Ressourcen - welchen Grund sollte es also geben, diese nicht mit zu übermitteln?

Unterschiedliche Parametriesierung kann ein und dieselbe Ressource bedeuten. Aber mal davon abgesehen, scheinen sich also ggf. SessionIDs per POST und Einbindung externer Ressourcen aus Sicherheitsgründen auszuschliessen. Finden wir nicht so toll. Die Referrer-Angaben scheinen uns eher unwichtig. Warum gibts die?