Http中Host,Referer,Origin和Access-Control-Allow-Origin

已于 2024-03-21 13:18:20 修改
阅读量582 收藏 8
点赞数 3
文章标签: http 网络协议 网络
于 2024-03-21 09:52:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_LiYyang/article/details/136898957
版权

Http中Host,Referer,Origin和Access-Control-Allow-Origin

文章目录

Host

定义

描述请求将被发送的目的地,包括且仅仅包括域名和端口号。 HTTP/1.1 的所有请求报文中必须包含一个Host头字段,且只能设置一个。

特性

  1. 请求要发送的目的地(请求地址的域名)
  2. 仅包括域名和端口
  3. 请求头必须包含此字段
  4. 可以是域名也可以是ip
  5. 程序可以自定义Host参数

作用

  1. 一个域名只对应一个ip地址,而一个ip地址可以对应多个域名。
  2. 不通域名解析到同一台服务器时,服务器根据Host的不同,提供不同的服务(同一台服务器部署多个网站),可以同时使用80/443端口。

image-20240320101616892

Referer

定义

在HTTP协议中,Referer 是一个请求头(Request Header),它包含了当前请求页面的完整URL,即用户是从哪个页面链接到当前页面的。这个头部字段主要用于服务器端记录访问来源,分析用户行为,以及防止CSRF(跨站请求伪造)攻击。
Referer 字段对于网站运营者来说是一个非常有用的工具,因为它可以帮助网站分析用户的行为模式,了解用户是如何找到并浏览网站的。例如,如果一家在线商店发现很多用户都是从特定博客文章链接过来的,那么他们可能会考虑与该博客作者建立合作关系,或者优化自己的营销策略。
但是,Referer 也引发了一些隐私问题,因为它可能会将用户的浏览历史泄露给其他服务器。为了解决这个问题,现代浏览器提供了隐私设置,允许用户控制何时发送Referer信息。

特性

  1. 发送请求的原URI,例如A发送至B,B代理转发至C,则C收到的Referer信息是A的URI

  2. 用于所有类型的请求,并且包括协议、域名、路径和查询参数。

  3. 在以下几种情况Referer不会被发送

    1)来源页面采用的协议为表示本地文件的 "file" 或者 "data" URI;
2)当前请求页面采用的是非安全协议,而来源页面采用的是安全协议(HTTPS);
3)直接输入网址或通过浏览器书签访问;
4)使用 JavaScript 的 Location.href 或者是 Location.replace();
5)使用html5中noreferrer;
6)使用iframe的hack写法去除referer。

作用

  1. 追踪来源,对于web服务器来说,Referer 可以帮助网站管理员追踪用户是如何到达当前页面的
  2. 防盗链,网站可以通过检查Referer来防止其他网站直接链接到它们的资源,这被称为“防盗链”。如果Referer不是来自允许的来源,服务器可以拒绝提供服务。
  3. 统计分析,网站分析工具使用Referer信息来生成报告,显示访问者来自哪些网站或搜索引擎,以及他们使用了哪些关键词进行搜索。

Origin

定义

在解释Origin前,先了解下浏览器的同源策略:同源策略(Same-Origin Policy,SOP)是浏览器实施的一种安全措施,它限制了一个源(域、协议和端口)的文档或脚本如何与另一个源的资源进行交互。这个策略可以防止恶意网站读取另一个网站的数据、防止恶意脚本向另一个域发送数据,从而保护用户的信息安全。

Origin翻译成中文是起源的意思,在HTTP协议中,Origin头部字段是一个请求头(Request Header),它用于指示请求的来源域。Origin头是在同源策略(Same-Origin Policy)的背景下引入的,特别是在跨源请求(CORS,Cross-Origin Resource Sharing)中使用。

Origin头的引入是为了提供一种更精细的控制机制,以替代旧的Referer头,后者可能会暴露过多的用户信息。通过使用Origin头(只包含协议、域名和端口号,不包含路径和参数),网站可以在保护用户隐私的同时,实现跨源资源的有限共享。

特性

  1. HTTP 头部的 Origin ,用于指明当前请求来自于哪个站点
  2. Origin 仅仅包含站点信息(协议、域名和端口号),不包含任何路径和参数信息
  3. 当一个浏览器发起一个跨源请求时,它会自动在请求头中添加一个Origin字段
  4. 非跨域请求,浏览器发起复杂请求前,会发送预检请求(使用HTTP OPTIONS方法发送),发送该请求时会携带Origin信息

作用

  1. Origin头的引入是为了提供一种更精细的控制机制,以替代旧的Referer头,后者可能会暴露过多的用户信息
  2. Origin字段的作用是为了在CORS(跨源资源共享)请求中提供来源信息
  3. 安全性:服务器可以根据Origin头的值决定是否发送相应的CORS响应头,如Access-Control-Allow-Origin,以此来控制哪些源可以访问其资源
  4. 隐私保护:与Referer头不同,Origin头不会暴露完整的引用路径,只提供源的概要信息,这有助于保护用户的隐私
  5. 凭证传输:当跨源请求包含凭证(如cookies)时,Origin头是必要的。服务器需要这个信息来决定是否接受这些凭证。如果服务器响应中包含了Access-Control-Allow-Origin头,并且它的值与请求的Origin匹配,或者是一个通配符*,那么浏览器才会允许跨源请求携带凭证
  6. Origin头是CORS机制中的一个关键组成部分,它允许开发者在控制跨源请求的同时,保持用户数据的安全和隐私。

image-20240320113055596

Access-Control-Allow-Origin

定义

Access-Control-Allow-Origin 是一个HTTP响应头,它是CORS(跨源资源共享)机制中的一个关键组成部分。这个头部字段指定了哪些源(域、协议和端口)可以访问资源。它是服务器用来告诉浏览器允许跨域请求的标识。

特性

  1. 当发生跨域求情时该字段才会起作用,没有发生跨域时没有关键意义
  2. 它是服务器用来告诉浏览器,那些Origin允许跨域请求
  3. 具体的源,例如,Access-Control-Allow-Origin: https://example.com,这表示只有来自https://example.com的请求被允许跨域访问资源。
  4. 星号(*):例如,Access-Control-Allow-Origin: *,这表示任何源都可以访问资源,即允许所有跨域请求。
  5. null:例如,Access-Control-Allow-Origin: null,这表示没有源被允许访问资源,通常用于拒绝跨域请求。

作用

浏览器预检请求(Preflight Request)是跨源资源共享(CORS)机制中的一部分,它是一种在发送实际请求之前,由浏览器自动发起的HTTP请求,用于确定实际请求是否安全可以发送。
预检请求主要是为了检查服务器是否允许以下类型的实际请求:

  1. 不同寻常的请求方法:除了GET、POST、HEAD之外的HTTP方法,如PUT、DELETE、PATCH等。
  2. 自定义头部字段:请求中包含了一些自定义的头部字段,而不是标准的HTTP头部字段。
  3. 特定内容的请求:比如请求的Content-Type头部字段的值是application/json或者其他一些特定的值。
  4. 携带凭证的请求:如果请求包含了凭证(如cookies、HTTP认证信息等),则可能需要预检请求。
    预检请求使用HTTP OPTIONS方法发送,它包含以下头部字段:
  • Origin:发起请求的源(协议+域名+端口)。
  • Access-Control-Request-Method:实际请求将使用的方法(如PUT)。
  • Access-Control-Request-Headers:(如果有的话)实际请求将包含的自定义头部字段。
    服务器收到预检请求后,会根据CORS策略决定是否允许该跨源请求。如果服务器允许请求,它会响应一个包含CORS相关头部字段的HTTP响应:
  • Access-Control-Allow-Origin:指示哪些源可以访问资源。
  • Access-Control-Allow-Methods:允许的HTTP方法。
  • Access-Control-Allow-Headers:允许的自定义头部字段。
  • Access-Control-Allow-Credentials:指示是否允许请求携带凭证(token,cookie)。
  • Access-Control-Max-Age:预检请求结果的有效时间(秒),在此期间,相同的请求不需要再次发送预检请求。
    如果预检请求的响应是允许的,浏览器随后会发送实际请求。如果预检请求被拒绝,浏览器将不会发送实际请求,并且会触发一个错误,开发者可以通过JavaScript的XMLHttpRequestFetch API捕获这个错误。

image-20240320113141251

实际测试

  1. 当前网站域http://192.168.1.111:1888,请求接口域http://192.168.1.111
  2. 二者端口号不同,浏览器判断为跨域请求
  3. 浏览器发起预请求(options请求),咨询服务器端是否允许跨域请求
  4. 服务端判断对比uri和origin不同,则判定为跨域请求,于是添加Access-Control-Allow-Origin请求头值为http://114.94.20.15:9001
  5. 浏览器收到服务端返回的【Access-Control-Allow-Origin:http://114.94.20.15:9001】,意思是服务器只允许从【http://114.94.20.15:9001】站点发出的跨域请求,但是浏览器发出的站点是http://192.168.1.111:1888(就是浏览器发送options的请求所携带的Origin头),于是浏览器拒绝此次跨域请求

image-20240320191356218

服务端添加跨区相关的返回头

image-20240320193252229

服务端判断为跨域请求

image-20240320193531824

浏览器拒绝此次跨域请求

image-20240320194532498

修改后端Access-Control-Allow-Origin属性值为,http://192.168.1.111:1888即与origin一致,则浏览器允许此次跨域请求

image-20240320195616428

【Access-Control-Allow-Headers】属性,当跨域时允许跨域请求所携带的请求头

image-20240320200139926
一致,则浏览器允许此次跨域请求

image-20240320195616428

【Access-Control-Allow-Headers】属性,当跨域时允许跨域请求所携带的请求头

image-20240320200139926

Mr_LiYYD
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Origin字段 Header 为了防止CSRF的攻击
xiejin2008的专栏
07-08 5665
为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主...
如何增加Referer功能--反向链接插件
10-31
如何增加Referer功能--反向链接插件
php 伪造IP和HTTP-REFERER的方法
11-14
php 伪造IP和HTTP-REFERER的方法,对于采集,匿名投票等很有用处
VBS伪造HTTP-REFERER的实现方法
09-05
最近用VBS模拟POST提交表单,发现遇到检测Referer的页面就不管用了。
referer-mod:Web Extension修改HTTP请求Referer标头
04-29
Referer-mod Referer Modifier是Firefox的Web扩展,用于修改HTTP请求Referer标头和匹配的Javascript document.referrer属性。 对于每个目标域,可以配置以下五个操作之一: 保留:请勿修改引荐来源网址 修剪:仅发送引荐来源的来源部分(方案,主机和端口) 目标:将目标URL的来源(方案,主机和端口)作为引荐来源发送 删除:完全不发送推荐人 替换:用配置值替换引荐来源 您可以为源自同一域的请求以及与域规则不匹配的任何其他请求配置默认操作。 如有必要,“替换”和“目标”操作将创建一个Referer标头,其他仅修改或删除现有标头。 可以将配置导出为JSON文件,也可以从JSON文件导入。 安装 用户应从安装插件。 如果您正在处理代码,则可以使用Firefox about:debugging页面将正在进行的工作作为临时加载
mod_access_referer module for Apache-开源
05-06
这是Apache HTTP Server的模块,该模块基于“ Referer” HTTP标头内容提供访问控制。
http请求originreferer和host区别
wangpf2011的博客
01-04 9639
1. Host 描述请求将被发送的目的地,包括且仅仅包括域名和端口号。 HTTP/1.1 的所有请求报文必须包含一个Host头字段,且只能设置一个。 2. Origin 请求origin表明了请求来自于哪个站点。包括且仅仅包括协议、域名和端口,并不包含任何路径信息。经常用于CORS请求或者POST请求,可以看到response有对应的header:Access-Control-Allow-Origin。 @CrossOrigin(origins="http://wx.xxxx.com:80")
【计算机网络referer和host的区别
share something here
06-28 2262
【计算机网络referer和host的区别hostreferer host hostreferer和origin的区别 host比较容易理解,来看下MDN网站给的介绍: Host 请求头指明了服务器的域名(对于虚拟主机来说),以及(可选的)服务器监听的TCP端口号。 如果没有给定端口号,会自动使用被请求服务的默认端口(比如请求一个HTTP的URL会自动使用80端口)。 HTTP/1.1 的所有请求报文必须包含一个Host头字段。如果一个 HTTP/1.1 请求缺少 Host 头字段或者设置了超过一个
解密http请求头的HostReferer,Origin背后的含义:
m0_52358470的博客
12-23 1万+
http请求头的HostReferer,Origin
推荐人控制「Referer Control」-crx插件
03-20
Referer Control授予对HTTP Referer的完全控制权。您可以全局或在每个站点上伪造所需的任何引荐来源。或者,您可以选择完全禁用引荐来源网址。也可以在JavaScript document.referrer上使用! 支持语言:English
配置https后403的问题
解牛
11-25 5643
这里写自定义目录标题配置h新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 配置h 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一
http请求originreferer、host
热门推荐
时清云的博客
08-20 1万+
发送一个请求时,Request Headers(请求头)会包含很多字段,我们来看一下请求originreferer、host的含义和区别。 我们先看一下请求包含这几个字段的情形。 1、Host 表示当前请求要被发送的目的地,说白了就是当前请求发送到哪里,host代表的是接收这个请求的目的地的host,仅包括域名和端口号,如test.pay.com:8090。在任何类型请求,request都会包含此header信息。 2、Origin 表示当前请求资源所在页面的协议和域名,用来说明请求从哪里
HTTP 头部字段 Access-Control-Allow-Origin
choubiao0107的博客
03-02 1719
前后端分离的协作开发方式,已经被很多公司采用。若前后端部署在不同的域名下,就会碰到跨域的问题。对于跨域的问题,W3C 有标准的解决方案,即跨域资源共享(Cross-origin resource sharing),缩写为 CORS。详细了解 CORS,可以参考阮一峰的博文:跨域资源共享 COR...
浏览器同源策略导致跨域问题 No ‘Access-Control-Allow-Origin‘ header 原因及解决方式--(后端、nginx、前端)
Ricardo.M.Yu的博客
10-28 1万+
跨域问题解决
跨域问题详解
阿巴阿巴
06-12 817
没错,jsonpCallback就是可以指定我们自己的回调方法名person,远程服务接受callback参数的值就不再是自动生成的回调名,而是person。简单来说,浏览器会禁止当前访问的页面请求其他源的资源。我们可以认为当前源是安全的(默认当前源是用户主动要访问的),但此时由程序发起请求访问的其他源却不是用户主动进行的行为,而这可能存在风险。用户的cookies信息只在当前源下有用,同源策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限,如获取cookie。
HTTP headerAccess-Control-开头的响应头
hulinhulin的专栏
03-31 5071
Access-Control-Allow-Credentials Access-Control-Allow-Credentials响应报头指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露。 Credentials可以是 cookies, authorization headers 或 TLS client certificates。 当作为对预检请求的响应的一部分使用时,它指示是否可以使用凭证进行实际请求。请注意,简单的GET请求不是预检的,所以如果请求使用凭证的资源,如果此资源不
跨域http请求 Access-Control-Allow-Origin
sinat_29326171的博客
01-10 1071
跨域http请求 Access-Control-Allow-Origin $cunzai_YZ = strstr($_SERVER['HTTP_REFERER'],'xxx.com'); if($cunzai_YZ){ header('Access-Control-Allow-Origin:*'); header('Access-Control-Allow-Credentials:true');...
lamp 解决strict-origin-when-cross-origin
最新发布
03-23
LAMP是一种常用的Web应用程序开发平台,它由Linux操作系统、Apache Web服务器、MySQL数据库和PHP编程语言组成。LAMP提供了一个完整的开发环境,可以用于构建动态网站和Web应用程序。 关于解决strict-origin-when-cross-origin问题,这是一个浏览器安全策略,用于防止跨域请求的信息泄露。当浏览器发起跨域请求时,如果目标网站没有正确设置CORS(跨域资源共享)头部,浏览器会将Referer头部设置为"strict-origin-when-cross-origin",以保护用户隐私。 要解决这个问题,可以在目标网站的服务器上进行配置。具体方法是在响应头部添加Access-Control-Allow-Origin字段,并设置为允许访问的域名。例如,可以设置为"*"表示允许所有域名访问,或者设置为具体的域名。 另外,还可以使用代理服务器来解决这个问题。代理服务器可以将跨域请求转发到目标网站,并在响应添加正确的CORS头部。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值