Referer请求头

已于 2022-04-08 14:32:43 修改
阅读量4.4k 收藏 4
点赞数
分类专栏: JavaWeb学习笔记 文章标签: java
于 2022-04-08 14:31:37 首次发布
原文链接:https://cloud.tencent.com/developer/article/1748911
版权

本文分享自微信公众号 - code秘密花园(code_mmhy),作者:ConardLi

原文出处及转载信息见文内详细说明,如有侵权,请联系 1278556902@qq.com 删除。

原始发表时间:2020-11-17

文章目录

前言

如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。

在开始阅读本文之前,如果你不理解 siteorigin之间的关系,请阅读:同站和同源你理解清楚了么?

Referer 标头

Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。

服务端一般使用 Referer请求头识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。
在这里插入图片描述

这里有意思的一点:referer 实际上是 “referrer” 误拼写。Referrer-Policy 标头以及 JavaScript 中的 referrer 拼写是没有问题的。

Referer-Policy

Referer请求头可能暴露用户的浏览历史,涉及到用户的隐私问题。所以 HTTP 提供了 Referrer-Policy标头,其用来监管和限制哪些访问来源信息会在 Referer中发送(应该被包含在生成的请求当中)。
在这里插入图片描述

Referer-Policy包括以下几个可选项

  • no-referrer

整个 Referer首部会被移除。访问来源信息不随着请求一起发送。

  • no-referrer-when-downgrade (默认值)

在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)

  • origin

在任何情况下,仅发送文件的源作为引用地址。例如https://example.com/page.html会将 https://example.com/作为引用地址。

  • origin-when-cross-origin

对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。

  • same-origin

对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。

  • strict-origin

在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)

  • strict-origin-when-cross-origin

对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)

  • unsafe-url

无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。

Referer-Policy 默认值

如果 Referer-Policy未设置任何策略,则使用浏览器的默认值。网站通常会遵循浏览器的默认设置。

对于导航和 iframe, Referer头中的数据也可以通过 JavaScript 使用 document.referrer访问。

no-referrer-when-downgrade 是跨浏览器的一种广泛的默认策略。但是现在,许多浏览器正处于向更多提高隐私的默认设置过渡的阶段。

Chrome 计划在85版开始 将其切换默认策略 no-referrer-when-downgrade更换到strict-origin-when-cross-origin

变化

strict-origin-when-cross-origin提供更多的隐私。有了这个政策,Referer 标头只会发送 origin

这样可以防止泄漏私人数据,这些数据可以从完整URL的其他部分(例如路径和查询字符串)访问。
在这里插入图片描述

例如,在一个跨域请求中:

https://site-one.example/stuff/detail?tag=red访问https://site-two.example/…

使用 no-referrer-when-downgrade: Referer: https://site-one.example/stuff/detail?tag=red
使用 strict-origin-when-cross-origin: Referer: https://site-one.example/

不变的

no-referrer-when-downgrade一样,strict-origin-when-cross-origin 在从 HTTPS 来源访问 HTTP 站点时,不会携带Referer头。
在相同的来源内,Referer标头值为完整的 URL 。

GD_vigoss
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是HTTP Referer?
weixin_34128839的博客
11-16 5066
什么是Referer? Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Ref...
selenium-referer:在使用Python和WebDriver的Selenium测试中添加Referer请求标头的示例
05-25
具有自定义Referer标头的Python Selenium测试 有时,当用户来自不同来源/搜索引擎时,网站需要具有不同的行为。 在我的用例中,我们的网站必须设置一个跟踪Cookie,该跟踪Cookie对于来自Google,AOL,Yahoo或MSN的...
http请求头Referer的含义和作用
liuqinhou的博客
08-08 1万+
计算机网络
围绕http请求头Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
HTTP协议中的Referer头部有什么用?它在哪些场景下会被发送?
最新发布
长风破浪会有时的博客
05-02 96
比如,如果你直接在浏览器的地址栏输入网址访问一个网站,或者从浏览器的书签栏打开一个网站,这时浏览器就不会发送Referer头部,因为没有一个“介绍人”页面。比如,如果你在搜索引擎里搜索了一个关键词,然后点击了一个搜索结果链接,进入了另一个网站,那么这个网站就可以通过查看Referer头部,知道你是从搜索引擎过来的,甚至还知道你搜索的是什么关键词。当你点击一个网页上的链接,跳转到另一个网页时,浏览器会发送Referer头部,告诉新网页你是从哪个页面点过来的。
深入了解HTTP请求中的Referer头部
YouAreMyLove995的博客
04-23 2446
Referer头部是HTTP请求中的一个标头字段,用于指示当前请求的来源页面。通常由HTTP客户端(如浏览器)发送给服务器,帮助服务器了解用户是从哪个页面跳转而来的。这个字段的作用在于提供了请求的上下文信息,有助于服务器进行处理和响应。综上所述,Referer头部是HTTP请求中一个重要的标头字段,用于指示请求的来源页面。它在网站开发、分析和安全防范中都有着重要的作用,但也需要注意用户隐私和安全性方面的考虑。
2.http请求头Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
超全面javaweb教程28天第10天 12 request之使用Referer请求头完成防盗链
08-31
超全面javaweb教程28天第10天_12_request之使用Referer请求头完成防盗链
python爬虫请求头设置代码
09-16
在Python网络爬虫开发中,请求头(Headers)是一个至关重要的元素,因为它允许我们模拟不同的浏览器行为,从而更好地与目标网站交互。本文将详细介绍如何在Python的几个常见爬虫库中设置请求头。 1. **requests库...
详解php伪造Referer请求反盗链资源
10-17
主要介绍了详解php伪造Referer请求反盗链资源,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
一段ASP的HTTP_REFERER判断代码
10-30
其实我这样做的本意是为了防止盗链!大家帮忙看一下通过代码能够根治盗链!
获取referer中的请求参数_Http请求头中的referer
weixin_30840919的博客
02-12 3672
Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.google.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:Referer=http://www.google.com由此可以看出来吧。它就是表示一个来源。Re...
面试题:什么是 Referer?
jakelihua
06-11 970
一般情况下,当一个用户浏览器访问一个页面时,请求头会包含 Referer 字段,告诉服务器用户从哪个网页跳转过来。例如,如果一个网站有引用一张图片,那么就需要检查该图片的 Referer 字段,只有在特定的来源页面中才允许访问。同样的,防火墙也可以使用 Referer 来辨别恶意请求和安全访问服务的请求来源等。需要注意的是,Referer 的敏感性较高,因为它可能泄露用户隐私和受到攻击者的利用,比如防止 CSRF 攻击,即攻击者可以通过篡改 HTML 中的表单提交地址,寻找可利用并导致目标应用程序漏洞等。
利用Referer请求头防止“盗链”
daqi1983的博客
08-13 785
一、介绍 在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。 二、创建DownManagerServlet 该类负责下载内容,要求下载请求(http://localhost:8080/chapter04/DownManagerServlet)来自
HTTP之Referrer和Referrer-policy
qq_57289939的博客
02-02 3325
HTTP之Referrer和Referrer-policy
HTTP请求头Referer的作用
Dax1_的博客
05-26 6470
Referer HTTP请求中,Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 例如,在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有: Referer=http://www.google.com 作用 1.防盗链 只允许我本身的网站访问本身的图片服务器,假如域名是www.goog
Referrer和Referrer-Policy简介
zzhongcy的专栏
06-08 4480
Referrer和Referrer-Policy简介
HTTP杂谈之Referer和Origin请求头再探
wzj_110的博客
08-02 1680
Origin和Referer请求头的关联。关于Referer和Origin的汇总。细节点、重点、难点挖掘。
referer请求头怎么设置
06-10
Referer 请求头是用来标识请求来源的,通常用于防盗链或者统计分析等场景。在 Python 爬虫中设置 Referer 请求头,可以通过在 headers 参数中设置 `Referer` 字段来实现,示例如下: ```python import requests ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值