HTTP请求中的referrer和Referrer-Policy

最新推荐文章于 2024-04-24 00:26:15 发布
最新推荐文章于 2024-04-24 00:26:15 发布
阅读量451 收藏
点赞数
分类专栏: http 文章标签: http
原文链接:https://juejin.im/post/5cd81b59518825686a06fd05
版权

本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。

什么是referrer

当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:

 

也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请求的。

使用场景

有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头中,或者是否显示完整路径等。尤其是在以下两个使用场景:

1、隐私

在社交网站的个人中心页面,也许会存在一些外链,这时候社交网站肯定不希望用户在点击这些链接跳转到其他第三方网站时会将自己个人中心的URL信息显示在referrer字段中传过去,尤其是个人中心页面的URL往往会带着用户数据和一些敏感信息。这时候可以选择不显示来源页面URL信息或者只显示一个网站根地址hostname。

2、安全

有些使用了https的网站,可能在URL中使用一个参数(sid)来作为用户身份凭证,而又需要引入其他https网站的资源,这种情况,网站肯定不希望泄露用户的身份凭证信息。当https网站需要引入不安全的http网站的资源或者有链接要跳转到http网站时,这时候将https源网站的URL信息传过去也是不太安全的。

当然还有其他情况下需要referrer的值,比如最近公司所做的项目中,有一个请求由于请求头过大导致响应是400,我们的Referrer Policy是默认的情况,显示的referrer是完整的URL信息,该URL带了很多敏感数据比如加密后的token,sessionID等,长度特别长,请求头中的cookie和请求的URL也带着很大块的信息,最终我们决定让referrer只携带网站根地址的信息而不是其完整路径,由此减小了header的大小。

Referrer-Policy

Referrer-Policy的作用就是为了控制请求头中referrer的内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。

目前Referrer-Policy只包含以下几种值:

  1. enum ReferrerPolicy {

  2. "",

  3. "no-referrer",

  4. "no-referrer-when-downgrade",

  5. "same-origin",

  6. "origin",

  7. "strict-origin",

  8. "origin-when-cross-origin",

  9. "strict-origin-when-cross-origin",

  10. "unsafe-url"

  11. };复制代码

空字符串

若设为空串则默认按照浏览器的机制设置referrer的内容,默认情况下是和no-referrer-when-downgrade设置得一样。

no-referrer

不显示referrer的任何信息在请求头中。

no-referrer-when-downgrade

这是默认值。当从https网站跳转到http网站或者请求其资源时(安全降级HTTPS→HTTP),不显示referrer的信息,其他情况(安全同级HTTPS→HTTPS,或者HTTP→HTTP)则在referrer中显示完整的源网站的URL信息。

same-origin

表示浏览器只会显示referrer信息给同源网站,并且是完整的URL信息。所谓同源网站,是协议、域名、端口都相同的网站。

origin

表示浏览器在referrer字段中只显示源网站的源地址(即协议、域名、端口),而不包括完整的路径。

strict-origin

该策略更为安全些,和origin策略相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。

origin-when-cross-origin

当发请求给同源网站时,浏览器会在referrer中显示完整的URL信息,发个非同源网站时,则只显示源地址(协议、域名、端口)

strict-origin-when-cross-origin

origin-when-cross-origin相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。

unsaft-url

浏览器总是会将完整的URL信息显示在referrer字段中,无论请求发给任何网站。

Referrer-Policy更改方法

可以有以下5种方法:

1. 通过Referrer-Policy HTTP header设置:

Referrer-Policy: origin复制代码

2. 通过<meta>元素改变Referrer Policy,直接修改名为referrer的内容

<meta name="referrer" content="origin">复制代码

3.<a>, <area>, <img>, <iframe>, 或者<link>元素设置referrerpolicy属性

<a href="http://example.com" referrerpolicy="origin">复制代码

4. 如需设置不显示referrer信息时,也可以给 <a>, <area>, <link>元素设置rel的链接关系。

<a href="http://example.com" rel="noreferrer">复制代码

总结

使用何种Referrer Policy取决于网站的需求,但是一般来说,unsafe-url是不太建议用的,同样,如果是只想显示网站的根地址,那么建议用strict-origin和strict-origin-when-cross-origin。如果URL中没有什么敏感信息,那就默认使用no-referrer-when-downgrade

 

 

参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy

_风_云_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 通过设置Referer反盗链
09-05
防盗链主要是通过检查HTTP请求的`Referer`字段来实现的。当用户从一个外部链接访问网站资源时,浏览器通常会在请求头携带`Referer`字段,表明是从哪个页面发起的请求。如果`Referer`不在允许的列表内,网站...
Referer的理解及防盗链
weixin_64311421的博客
01-09 6125
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
开发日志(20240422):一次以为是跨域但并不是跨域的问题排查记录
最新发布
零一魔法
04-24 975
因为对于跨域相关知识点存在一定的误解,再结合过往跨域问题排查的经验,导致了前期排查的方向错误。需要时刻注意各端控制台日志的输出,尽量放置在同一界面。此外在排错的时候,先把历史输出清空,这样可以更快的发现异常。遇到问题之后,尽量尽快的熟悉一下相关的知识点,如果这次更早的意识到「预检请求」无法通过跨域,就可以更加及时的发现问题。前后端联调的经验仍不足,接口参数被data包裹,我以为这是Angular的特性,并且最初也不知道去除data包裹的方法,所以即使发现了传参问题,也没有在一开始引起足够的重视。
Referrer Policy 介绍
chengyujiaoz7891的博客
08-16 306
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在...
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 3206
HTTPReferrerReferrer-policy
利用Nginx处理Vue开发环境的跨域的方法
09-29
主要介绍了利用Nginx处理Vue开发环境的跨域的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
secure_headers:使用许多安全默认值管理安全头的应用
02-01
安全标题 主分支代表6.x行。 有关如何请参阅 ,或 。 错误修复现在应该在5.x分支进行。 gem将自动应用与安全性相关的多个标头。 这包括: ... secure_headers是一个具有全局配置,每个请求覆盖和机架
Dev Headers-crx插件
04-02
使阅读Content-Security-Policy(CSP)和Feature-Policy(FP)标头更加容易,并检查是否已为HTML和链接资源设置了所有其他相关标头(例如Referrer-Policy)。 它还可以在对服务器的所有请求上设置“ X-Dev-Key”标头...
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4256
ReferrerReferrer-Policy简介
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 3984
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
Referrer策略
liuhua_2323的博客
10-31 3650
Referrer简介: 在流量监测,访客的来源信息是一个很重要的信息,包括访客的访前链接,以及搜索关键词。在HTTP请求有一个referrer标签,用来指明当前流量的来源参考页。例如在http://www.bitauto.com/上点击一个链接到达www.taoche.com首页,那么就referrer就是http://www.bitauto.com/了。在Javascript,我们可以通...
Referrer Policy
heresin的博客
04-04 6743
Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer  发送——应该被包含在生成的请求当Referrer-Policy: no-referrerReferrer-Policy: no-referrer-when-downgradeReferrer-Policy: originReferrer-Policy: origin-when-cross-originRe...
HTTP首部---referrer 知识点
热门推荐
zhangsir的博客
08-13 2万+
Referrer介绍 Referrer网站来路;访问者进入网站任何途径。HTTP Referer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用语处理。 获取referrer js获取:var referer = document.referrer; java后台获取:String...
HTTP Referer 教程
qq_42992919的博客
07-09 1806
现实生活,购买服务或加入会员的时候,往往要求提供信息:“你从哪里知道了我们?” 这叫做引荐人(referrer),谁引荐了你?对于公司来说,这是很有用的信息。 互联网也是一样,你不会无缘无故访问一个网页,总是有人告诉你,可以去那里看看。服务器也想知道,你的"引荐人"是谁? HTTP 协议在请求(request)的头信息里面,设计了一个Referer字段,给出"引荐网页"的 URL。 这个字段...
围绕http请求Referer展开的一些知识
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
请求图片资源返回403。referrer服务器防盗链。
VR_Mad的博客
07-18 3129
请求图片资源返回403。referrer服务器防盗链。
请求出现Referrer Policy: no-referrer-when-downgrade
06-13
Referrer Policy: no-referrer-when-downgrade是一种浏览器安全策略,用于控制在HTTP请求发送哪些Referrer信息。在这个策略下,当从HTTPS页面链接到HTTP页面时,Referrer信息不会被发送,但当从HTTP页面链接到任何...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值