Hello,

Insofern wäre ein gültiger Referrer [...]

Den Rest des Satzes kannst du dir sparen. Das sind Clientdaten, die haben weder Gültigkeit noch Sicherheit, da willkürlich manipulierbar. Referrerbombing gehört zum Penetrationtesting.

Du denkst mMn zu kurz und verfremdest auch meine Aussage. Selbstverständlich bedeutet ein Referrer für den Webseitenbetreiber einen Sicherheitsgewinn. Er kann die empfehlenden Seiten aufsuchen und schauen, aus welchem Umfeld heraus er empfohlen wurde. Da gibt es durchaus Negativbeispiele! Und wenn dann mal ein Referrer nicht brauchbar ist (nicht jeder Client manipuliert den), dann wird er eben aussortiert. Er kann damit auch prüfen, ob der Subrequest zum Hauptrequest passt.

Für die Clientseite deutet der Referrer darauf hin, dass der Subrequest wirklich aus der richtigen Primärseite heraus generiert wurde und für seine Anfrage nicht aus Versehen Intanzen des Hauptrequests gemischt wurden. Das ist bei Verwaltungssoftware über HTTP/s höchst interessant! Da wird dann auch kein Client seinen Referrer fälschen wollen, denn damit würde er ja seine eigene Arbeit sabotieren.

Und wer arbeitet schon gerne doppelt?

Liebe Grüße
Tom S.