Limiter les referers (au moins dans l'espace privé)
Lorsqu'on consulte des sites à partir des stats, ou lorsqu'on prépare un contenu, on n'a pas forcément envie que le site destinataire voie des urls monsite/ecrire/?…… dans ses logs.
Les navigateurs récents respectent une referrer-policy (https://www.w3.org/TR/referrer-policy/), et je propose qu'on envoie en standard
Referrer-Policy: origin-when-cross-origin
Ca envoie quand même par politesse le nom de notre site, mais pas l'url de la page privée.
Pour l'espace public la logique serait d'envoyer
Referrer-Policy: no-referrer-when-downgrade
afin de limiter la fuite d'infos quand on passe de https à http.
Cette proposition est volontairement minimaliste, il s'agit d'éviter des fuites d'informations mais pas de masquer notre activité. Si on veut rendre ça plus drastique on pourrait passer par deux constantes _REFERRER_POLICY_PUBLIC et _REFERRER_POLICY_PRIVE.
Attention à l'orthographe c'est bien Referrer-Policy avec deux R, contrairement à l'entête Referer :)
cf. aussi b80bfef4