HTTP的Referrer Policy

最新推荐文章于 2024-08-13 09:02:16 发布
最新推荐文章于 2024-08-13 09:02:16 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: Http 文章标签: http Referrer-Policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FAITHZK/article/details/99175911
版权

客户端通过设置Referrer Policy来控制是否在请求头中告知服务端请求来源。来源信息写在生成的请求头的referer中。

注意 Referer 实际上是单词 “referrer” 的错误拼写。Referrer-Policy 这个首部并没有延续这个错误拼写。

Referrer Policy的取值:

  • no-referrer
    整个 Referer 首部会被移除。访问来源信息不随着请求一起发送。
  • no-referrer-when-downgrade
    (默认值)在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。
  • origin
    在任何情况下,仅发送文件的源作为引用地址。例如https://example.com/page.html 会将https://example.com/ 作为引用地址。
  • origin-when-cross-origin
    对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
  • same-origin
    对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。
  • strict-origin
    在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
  • strict-origin-when-cross-origin
    对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
  • unsafe-url
    无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。

示例:

当请发起请求的地址为http://localhost:3000/home/?id=1 ,接收请求的地址为http://localhost:8080。
客户端通过fetch发送请求

fetch('http://localhost:8080/getMessage', {
    referrerPolicy: 'no-referrer'
});

服务端收到的请求头分别如下:

  • no-referrer
    在这里插入图片描述
  • no-referrer-when-downgrade
    在这里插入图片描述
  • origin
    在这里插入图片描述
  • origin-when-cross-origin
    在这里插入图片描述
  • same-origin
    在这里插入图片描述
  • strict-origin
    在这里插入图片描述
  • strict-origin-when-cross-origin
    在这里插入图片描述
  • unsafe-url
    在这里插入图片描述

通过上面示例中的结果可以看到所有的请求头中都会带有origin,这是因为测试环境处于CORS跨域状态。
浏览器将CORS请求分为两类:简单请求和非简单请求。
对于简单请求浏览器是直接发出CORS请求,并且会在请求头信息中增加origin字段,表明请求来源。

麒麟星
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3764
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
Referrer Policy 介绍
chengyujiaoz7891的博客
08-16 328
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在...
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 3906
HTTPReferrerReferrer-policy
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1243
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
Referrer Policy
weixin_45221036的博客
11-20 3307
Referrer Policy 参考: Referrer Policy 介绍 Referrer Policy Referrer-Policy 浏览器的同源策略 介绍 Referrer Policy中文翻译过来是“来源页面政策”,该字段存在于http请求的公共部分General中,用于过滤 Referrer 报头内容 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
Referrer Policy是浏览器提供的一个安全特性,它控制了浏览器在发送HTTP请求时,如何处理来源(Referer)头部的信息。Referer头部通常包含了用户点击链接前所在页面的URL,这在某些场景下可能泄露用户的隐私信息或者...
Referer和Referrer Policy以及图片防盗链
热门推荐
小王的技术库
06-11 1万+
Referrer-policy作用就是为了控制请求头中referer的内容包含以下值:浏览器兼容性(caniuse.com/?search=ref…%25EF%25BC%259A “https://caniuse.com/?search=referer-policy)%EF%BC%9A”) 如下图: 如: 未加referrerpolicy属性的link元素:比如在自己页面里引入百度贴吧里的一张照片: 但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理 通过Referer或者签
接口基础-HTTP请求中的referrerReferrer-Policy
心田幽兰开 的专栏
04-29 1163
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。 什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请求的。 使用场景 有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头中,
http 策略之 Referrer-Policy
lxw1844912514的博客
12-28 1598
一、背景说道referer ,大家想必知道的清楚一些。referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer...
引用站点策略(Referrer Policy
最新发布
weixin_63490470的博客
08-13 995
引用站点策略(Referrer Policy)是HTTP响应头中的一个安全相关字段,用于控制在用户从一个页面导航到另一个页面时,是否以及如何发送 referrer 信息。Referrer 是指当前页面的上一个页面的 URL,通过这个字段可以追踪用户的来源。默认情况下,浏览器会将完整的 referrer URL 发送给目标页面,这可能包含敏感信息如登录凭证或个人数据。为了保护用户隐私和安全,网站管理员可以通过设置 Referrer-Policy 来控制 referrer 的内容和发送方式。
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 4207
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
HTTPReferrerReferrer Policy介绍
《穷小子的IT世界》的专栏
12-16 344
Referrer referrerHTTP请求header的报文头,用于指明当前流量的来源参考页面。通过这个信息,我们可以知道访客是怎么来到当前页面的。这对于Web Analytics非常重要,可以用于分析不同渠道流量分布、用户搜索的关键词等。 但是,这个字段同时会造成用户敏感信息泄漏(如:带有敏感信息的重置密码URL,若被Web Analytics收集,则存在密码被重置的危险)。 Referrer 还是 Referer? Referer是上世纪 90 年代由Philip Hallam-Baker提
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4765
ReferrerReferrer-Policy简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值