Возможно ли как-нибудь заставить браузер не передавать Referer через iframe или через window.open() или forms[].submit ?

diehard а зачем это тебе

возможно только через редирект

хочу сделать Csrf-червя

возможно только через редирект

Ну смотри, есть скрипт redir.php содержащий редирект:
<?
header("HTTP/1.1 301 Moved Permanently");
header("Location: http://xxx.ru/request.php");
exit();
?>


Если я открываю его просто в браузере: myhost.com/redir.php , то редиректюсь куда надо, серверу передаются кукисы и request.php срабатывает как надо.

Но если я открываю в браузере myhost.com/index.html содержащий:

<iframe src="redir.php" width=200 height=200></iframe>

<script>window.open("redir.php");</script>


То request.php всё выкупает и не делает того, что надо.
Отличие работающего и неработающего подходов, насколько я понимаю, только в реферерах? Или еще что-то?

я не понемаю в чем дела просто удали кукисы setcookie("asd", "dsd"); и отправляй куда хош

я не понемаю в чем дела просто удали кукисы setcookie("asd", "dsd"); и отправляй куда хош

зачем удалять кукисы? и их удалять нельзя, потому что их хавает http://xxx.ru/request.php

Дело в том, что нужно провернуть всё незаметно для юзера. Юзер заходит на mysite.com/index.html , а его браузер должен незаметно выполнить от его имени (которое вместе с паролем лежит в кукисах) на целевом сервере скрипт request.php , но так чтобы request.php думал, что его вызывают напрямую или по ссылке с его сервера. Насколько я понимаю, все дело в подмене Referer-a

сокетs заюзай

используй сокеты.
там когда хидеры передавать будешь напиши что то типа "Referer: none" или "Referer: "

Как выяснилось, от браузера многое зависит. В Ie6 все работает не так как в Опере 9.5 :)