La misma política de origen es una parte importante del modelo de seguridad, por lo que está "activada" de manera predeterminada para la mayoría de las cosas, pero para el referente no parece ser así. El valor predeterminado para los navegadores parece ser no-referrer-when-downgrade
, que en la práctica está cerca de "siempre activado", supongo que todos usan TLS.
Probablemente same-origin
sería una opción más segura ya que no filtrará su URL a la parte 3d.
¿Entonces me pregunto si hay alguna buena razón para eso?
Supongo que es demasiado importante para la publicidad o simplemente lo fue históricamente y nadie quiere cambiarlo.