http header referer和referer policy

最新推荐文章于 2023-12-29 14:05:41 发布
最新推荐文章于 2023-12-29 14:05:41 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: 前端 http 文章标签: http referer head
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h2604396739/article/details/95473626
版权
http 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
前端
25 篇文章 1 订阅
订阅专栏

Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  。比如我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:
Referer=http://www.google.com
由此可以看出来吧。它就是表示一个来源。所以referer可以用于检测请求的来源

Referer的作用?

1.防盗链。
我在www.google.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:
Referer=http://www.google.com
那么可以利用这个来防止盗链了,比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是www.google.com,那么图片服务器每次取到Referer来判断一下是不是我自己的域名www.google.com,如果是就继续访问,不是就拦截。
将这个http请求发给服务器后,如果服务器要求必须是某个地址或者某几个地址才能访问,而你发送的referer不符合他的要求,就会拦截或者跳转到他要求的地址,然后再通过这个地址进行访问。

2.防止恶意请求。
比如静态请求是*.html结尾的,动态请求是*.shtml,那么由此可以这么用,所有的*.shtml请求,必须 Referer  为我自己的网站。
Referer=http://www.google.com

Referer不存在或空Referer是怎么回事?什么情况下会出现空Referer?

首先,我们对空 Referer的定义为, Referer  头部的内容为空,或者,一个 HTTP  请求中根本不包含 Referer  头部。
那么什么时候 HTTP  请求会不包含 Referer  字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。
比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer  字段的,因为这是一个“凭空产生”的 HTTP  请求,并不是从一个地方链接过去的。
那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?
允许 Referer  为空,意味着你允许比如浏览器直接访问,就是空。

Referrer Policy States

新的Referrer规定了五种策略:
No Referrer:任何情况下都不发送Referrer信息
No Referrer When Downgrade:仅当协议降级(如HTTPS页面引入HTTP资源)时不发送Referrer信息。是大部分浏览器默认策略。
Origin Only:发送只包含host部分的referrer.
Origin When Cross-origin:仅在发生跨域访问时发送只包含host的Referer,同域下还是完整的。与Origin Only的区别是多判断了是否Cross-origin。协议、域名和端口都一致,浏览器才认为是同域。
Unsafe URL:全部都发送Referrer信息。最宽松最不安全的策略。

referrer具体设置方法

CSP响应头
CSP(Content Security Policy)
Content-Security-Policy: referrer no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;
指令和指令值之间以空格分割,多个指令之间用英文分号分割。

标签
html页面的meta标签指定。
如果content属性不是合法的取值,浏览器会自动选择no-referer策略。
<meta name="referrer" content="no-referrer|no-referrer-when-downgrade|origin|origin-when-crossorigin|unsafe-url">
标签的referer属性
作用的只是当前标签。
策略只有三中:不传、只host、都传(即完整URL)。

针对单个链接设置的策略优先级比CSP和要高。
<a href="http://example.com" referrer="no-referrer|origin|unsafe-url">xxx</a>

spring中获取referer的方法

public ViewDashboardBoard getData(@RequestParam(name = "id") Long id , HttpServletRequest request) {
    String referer = request.getHeader("referer");}
深山猿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JRE和CSP安装
04-13
JRE和CSP安装
面试题:什么是空 Referer,什么时候会出现空 Referer?
jakelihua
06-11 1550
通常情况下,当用户直接在浏览器地址栏中输入 URL 或通过书签或外部链接等方式访问网站时,由于没有跳转来源页面,因此Referrer被设置为空。需要注意的是,对于某些高安全级别的站点(如银行、商业),管理员可能会限制请求头中 Referrer 的内容或者强制使用 HTTPS 协议,并且只允许同源站点能够获取相关信息。空 Referrer 可以用于某些攻击手段,如 CSS 攻击、URL 记录和统计等,同时也可以用于隐私保护,降低定向广告的精度分析和重复点击猪仔的威胁。
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 3840
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
HTTP请求中的referrer和Referrer-Policy
乌龟的专栏
12-29 516
有些使用了https的网站,可能在URL中使用一个参数(sid)来作为用户身份凭证,而又需要引入其他https网站的资源,这种情况,网站肯定不希望泄露用户的身份凭证信息。当https网站需要引入不安全的http网站的资源或者有链接要跳转到http网站时,这时候将https源网站的URL信息传过去也是不太安全的。是完整的URL信息,该URL带了很多敏感数据比如加密后的token,sessionID等,长度特别长,请求头中的cookie和请求的URL也带着很大块的信息,最终我们决定让。所谓同源网站,是协议、
HTTP请求的Headers里所包含的部分详解
kxkltey的博客
06-11 1万+
本篇文章主要为大家介绍一下 HttpHeaders称为消息头,里面包含:General(基本信息),Response Headers(响应头),Request Headers(请求头),Query String Parameters(请求参数) 一、General 1.Request URL:请求的url 2.Request Method:请求的方式 3.Status Code:响应码 4.Remote Address:远程地址,包括ip和端口 5.Referrer Policy: ...
HTTPReferrer和Referrer-policy
qq_57289939的博客
02-02 3034
HTTPReferrer和Referrer-policy
Referrer和Referrer-Policy简介
zzhongcy的专栏
06-08 3812
Referrer和Referrer-Policy简介
Referer和Referrer Policy以及图片防盗链
小王的技术库
06-11 9648
Referrer-policy作用就是为了控制请求头中referer的内容包含以下值:浏览器兼容性(caniuse.com/?search=ref…%25EF%25BC%259A “https://caniuse.com/?search=referer-policy)%EF%BC%9A”) 如下图: 如: 未加referrerpolicy属性的link元素:比如在自己页面里引入百度贴吧里的一张照片: 但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理 通过Referer或者签
Android CordovaWebview Add Header Referer
12-29
本代码是处理android hybrid混合应用,遇到的webview 拦截 header referer 问题的解决。 场景:angular $HTTP 或者js的http请求或者其他。。webview成功拦截get 、post、delete请求,添加headerreferer以及body ...
php中HTTP_REFERER函数用法实例
10-25
主要介绍了php中HTTP_REFERER函数用法,以实例的形式分别讲述了判断用户来路与伪造来路地址等应用,需要的朋友可以参考下
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
VBS伪造HTTP-REFERER的实现方法
09-05
最近用VBS模拟POST提交表单,发现遇到检测Referer的页面就不管用了。
https网站发送 referrer https 与 http 跳转 referer 的问题
09-22
最近网站改版很多时候发现广告客户提示找不到来自我们网站的数据,原来是因为我们最近升级了https导致,经过搜索找到如下解决方法,需要的朋友可以参考下
安全基础第二天:httpheaderreferrer
weixin_62870380的博客
02-28 9126
form表单、iframe、referrer、防盗链以及其图片绕过、burpsite抓包的请求头部详解、cookie和session的关系、同源和跨域。
referrer策略和meta标签的问题
thlzjfefe的博客
03-16 5622
请求后端接口时,banner图片的请求出现403错误:GEThttp://xxxxxxxxxxxx403(Forbidden)。在网上搜寻一番,解决方法如下:在index.html中的head中添加<meta name="referrer" content="no-referrer" />。 在此之前,关于referrer,知之甚少。参考https://imququ.com/post/refer...,说是一种引用策略,可以用来防止图片或视频被盗。它的原理是:http 协议中,如果从一个网..
get请求图片出现403 防盗链解决方式 no-referrer
laoli360的博客
10-19 1万+
http请求头中有一个referrer字段,用来表示发起http请求的源地址信息 服务器端在拿到这个referrer值后判断请求是否来自本站 若不是则返回403,从而实现图片的防盗链。上面出现403就是因为,请求的是别人服务器上的资源,但把自己的referrer信息带过去了,被对方服务器拦截返回了403 <!-- 解决图片403防盗链问题 --> <meta name="referrer" content="no-referrer" /> 在前端...
referrer值的设置及对应的意义
wangsiyisiyi的博客
03-04 2655
在自己的页面中引入一些别的网页上的图片,如果页面中不显示图片,要在html的header中加上 <meta name="referrer" content=“no-referrer”> referrer是用于追踪用户是从哪个页面跳转过来,设置为no-referrer,表示所有请求都不发送referrer. 如果content属性不是合法的取值,浏览器会自动选择no-referer策略...
请求网站出现no-referrer-when-downgrade
热门推荐
david_Xuan的博客
04-05 13万+
问题说明: 浏览器发起请求时无响应,Network显示 no-referrer-when-downgrade 显示如下图: 原因分析: 1.no-referrer-when-downgrade的意思是:降级时不推荐。 从一个网站链接到另外一个网站会产生新的http请求,referrer是http请求中表示来源的字段。 2.此时我们按F12查看Console,截图如下: 出现 by CORS p...
如何启用Content-Security-Policy,验证referer头的来源
最新发布
01-27
要启用Content-Security-Policy并验证referer头的来源,您可以按照以下步骤进行操作: 1. 在Nginx配置文件中添加以下内容: ```shell add_header Content-Security-Policy "default-src 'self' xxx.xxx.com(允许的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值