La stessa politica di origine è una parte importante del modello di sicurezza, quindi per impostazione predefinita è "attivata" per la maggior parte delle cose, ma per il referente non sembra essere così. Il predefinito per i browser sembra essere no-referrer-when-downgrade
che in pratica è vicino a "sempre attivo", suppongo che tutti utilizzino TLS.
Probabilmente same-origin
sarebbe una scelta più sicura in quanto non perderà i tuoi URL per la parte 3d?
Quindi mi chiedo se ci sia una buona ragione per questo?
Suppongo che sia troppo importante per la pubblicità o semplicemente lo fosse storicamente e nessuno vuole cambiarlo.