HTTP首部---referrer 知识点

最新推荐文章于 2023-02-02 15:07:08 发布
最新推荐文章于 2023-02-02 15:07:08 发布
阅读量2w 收藏 17
点赞数 7
分类专栏: 网络 文章标签: referer referrer referrer policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_zhangshuai/article/details/81627365
版权

Referrer介绍

Referrer网站来路;访问者进入网站任何途径。HTTP Referer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用语处理。

获取referrer

js中获取:var referer = document.referrer;
java后台获取:String referrer = request.getHeader(“referer”);

作用

判断网站来源,可以相应的做一些校验,比如只允许某网站的请求,那么就可以通过获取referer,加以判断即可.

注意

我原来一直以为ajax的请求的referer是当前页面的referer,后来发现是错误的
ajax请求的referer是当前页面,因为本次请求就是在当前页面发起的,
注意referer的定义.是这个请求是哪个页面发出的,referer就是哪个页面

下面这个是转载的,关于referrer policy的介绍,转自:https://caixw.io/posts/2017/referrer-policy.html

Referrer Policy 介绍

当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,会原样不动地当作 Referrer 报头的内容传递给第三方网站。

所以就有了 Referrer Policy,用于过滤 Referrer 报头内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。具体的可查看这里。

指令值

目前包含了以下几种指令值:

enum ReferrerPolicy {
“”,
“no-referrer”,
“no-referrer-when-downgrade”,
“same-origin”,
“origin”,
“strict-origin”,
“origin-when-cross-origin”,
“strict-origin-when-cross-origin”,
“unsafe-url”
};

空字符串

按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。

no-referrer

从字面意思就可以理解,不传递 Referrer 报头的值。

no-referrer-when-downgrade

当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

原地址                           跳转地址                    Referrer
https://example.com?token=123   https://example.com/path    https://example.com?token=123
http://example.com?token=123    http://example.com/path     http://example.com?token=123
https//example.com              http://example.com/path     无(协议降级)
http://example.com?token=123    https://example.com/path    http://example.com?token=123
same-origin

同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。

原地址                           跳转地址                    Referrer
https://example.com?token=123   https://example.com/path    https://example.com?token=123
http://example.com?token=123    http://example.com/path     http://example.com?token=123
https//example.com              http://example.com/path     无(协议不同)
http://example.com?token=123    https://example.com/path    无(协议不同)
http://example.com?token=123    http://example.com:88/path  无(端口不同)
https://example.com?token=123   https://caixw.io            无(域名不同)
origin

将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

原地址                          跳转地址                     Referrer
https://example.com?token=123   https://example.com/path    https://example.com
http://example.com?token=123    https://example.com/path    http://example.com
https://example.com?token=123   https://caixw.io            https://example.com
strict-origin

类似于 origin,但是不能降级。

原地址                           跳转地址                   Referrer
https://example.com?token=123   https://example.com/path    https://example.com
http://example.com?token=123    https://example.com/path    http://example.com
http://example.com?token=123    http://caixw.io             http://example.com
https://example.com?token=123   http://caixw.io             无
origin-when-cross-origin

跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。

原地址                           跳转地址                    Referrer
https://example.com?token=123   https://example.com/path    https://example.com?token=123
http://example.com?token=123    https://example.com/path    http://example.com?token=123
http://example.com?token=123    http://caixw.io             http://example.com
strict-origin-when-cross-origin

与 origin-when-cross-origin 类似,但不能降级。

原地址                          跳转地址                     Referrer
https://example.com?token=123   https://example.com/path    https://example.com?token=123
https://example.com?token=123   https://caixw.io            https://example.com
https://example.com?token=123   http://example.com/path     无
https://example.com?token=123   http://example.com/         无
unsafe-url

任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。

传递方式

Referrer-Policy 报头

推荐的方式,直接在 Referrer-Policy 报头中设置。

Referrer-Policy: origin;

Meta

通过指定 name 值为 referrer 的 meta 标签,也可以达到相同的效果:


content 可以是上面的指定的值,也可以是下面这几种旧的指令值,会自动作相应的转换,但不推荐这些旧的指令值:

Legacy Referrer
never no-referrer
default no-referrer-when-downgrade
always unsafe-url
origin-when-crossorigin origin-when-cross-origin

标签属性

a 和 link 标签可以通过属性 rel 指定 noreferrer,仅对当前链接有效;
a、area、link、iframe 和 img 还可以通过 referrerpolicy 指定仅针对当前链接的设置。

设置

设置Referrer Policies主要有以下几种

CSP 响应头

  CSP(Content Security Policy),是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。:

Content-Security-Policy: referrer
我们还可以在 里面设置:

<meta http-equiv="Content-Security-Policy" content="referrer">
meta 标签

  通过 标签也可以指定 Referrer 策略,同样很简单:

<meta name="referrer" content="no-referrer">
我们把<meta> 放在 <head> ...</head> 之间。注意,如果出现的位置不对会被忽略。
同样,如果没有给它定义 content 属性,或者 content 属性为空,也会被忽略。
如果 content 属性不是合法的取值,浏览器会自动选择 no-referrer 这种最严格的策略。
a 标签的 referrer 属性

通过给 a 标签增加 referrer 属性也可以指定 Referrer 策略,格式如下:

<a href="https://www.iteblog.com" referrer="no-referrer">过往记忆</a>
这种方式作用的只是这一个链接。
并且,<a> 标签可用的 Referrer 策略只有三种:no-referrer、origin 以及 unsafe-url 。
另外,这样针对单个链接设置的策略优先级比 CSP 和 要高。
zhangSir134
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 此插件已通过所有测试用例。 且选项没有差异。 安装 通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法 const fastify = require ( 'fastify' ) ; const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ; const app = fastify ( ) ; app . register ( fastifyReferrerPolic
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3696
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
深入理解ajax系列第六篇——头部信息
weixin_33691700的博客
03-01 111
前面的话   每个HTTP请求和响应都会带有相应的头部信息,其中有的对开发人员有用。XHR对象提供了操作头部信息的方法。本文将详细介绍HTTP的头部信息   默认信息   默认情况下,在发送XHR请求的同时,还会发送下列头部信息 Accept: 浏览器能够处理的内容类型 Accept-Charset: 浏览器能够显示的字符集 Accept-Encoding: 浏览器能够处理的压缩...
ASP、Ajax 更改来源 Referer 和 UserAgent
07-26 6642
测试发现,同 ASP.NET 一样,Referer 在 ASP 和 Ajax 中也是无法通过设置 Header 来更改的,但 ASP.NET 中可通过类 HttpWebRequest 来实现,ASP、Ajax 我倒还没发现什么解决的办法。ASP 中: <% dim http
reques ajax referer,Request.UrlReferrer注意点
weixin_39878549的博客
08-06 322
定义:public sealed class HttpRequest{//// 摘要:// 获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。//// 返回结果:// 一个 System.Uri 对象。//// 异常:// System.UriFormatException:// HTTP Referer 请求标头格式不正确,并且不能被转换为 Sys...
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 2995
HTTPReferrerReferrer-policy
Referer的理解及防盗链
weixin_64311421的博客
01-09 5518
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
Ajax 参数怎么加Referer,解决XMLHttpRequest(Ajax)不能设置自定义的Referer办法
weixin_30002151的博客
08-05 3628
$url = 'http://pandavip.www.net.cn/check/check_ac1.cgi';$ch = curl_init($url);curl_setopt($ch, CURLOPT_POST, true); // POSTcurl_setopt($ch, CURLOPT_POSTFIELDS, 'domain='.$dn.$ex);curl_setopt($ch, CURL...
ajax请求模拟referer,用头和请求负载模拟AJAX请求
weixin_42515136的博客
08-06 1656
这是我要抓取的网站。当您打开该网站时,将使用ajax请求生成列表。当您向下滚动时,相同的请求会一直填充页面。这就是他们如何实现无限滚动。。。在当我向下滚动时,我发现这是发送到服务器的请求,我试图用头和请求负载模拟相同的请求。这是我的蜘蛛。在class MySpider(scrapy.Spider):name = 'kralilanspider'allowed_domains = ['kralila...
基于AOP的ajaxreferrer判断
A_D_wocaoni的专栏
03-15 289
网页中ajax请求的referrer的值是当前域名。(其实这个工作nginx来做最好) 所以对于一些简单的安全验证可以通过这样的方式来做。 下面是我的实现。 [code="java"] import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.a...
rust-http2:Rusttokio中的HTTP2实现
05-03
锈-http2 基于tokio的Rust中的HTTP / 2客户端和... 当前,它用作实现。 示例服务器 签出源代码并执行命令: cargo run --example server 服务器将在上可用。...referrer-policy: no-referrer location: https://www.goo
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
前后端联调跨域问题
koa-redirect-loop:由于HTTP Referrer标头不可靠,因此可以防止会话重定向循环
02-03
Koa重定向循环 由于HTTP Referrer标头不可靠,因此可以防止会话重定向循环请注意,此软件包仅支持koa-generic-session ,因为其他软件包未公开res.end覆盖中使用的save方法。目录安装 : npm install koa-redirect-...
monkeys-referrer:Node.js Express Web应用程序的引荐来源网址解析库
05-10
#猴子推荐人monkeys-referrer是用于node.js / express Web应用程序的引荐来源网址解析库。 由于缺乏维护,这是从分叉的。如何使用安装npm install monkeys-referrer --save原料药var mreferrer = require ( '...
nginx使用gzip压缩文件---lz77算法---Haffman编码
zhangsir的博客
08-16 9310
location ~* ^/dist/.+\.(eot|ttf|otf|woff|svg)$ { expires 0; types { application/vnd.ms-fontobject eot; font/ttf ttf; font/opentype ...
[网络]------长连接和短连接
zhangsir的博客
06-15 9267
本文重点介绍: 长连接和短连接的定义,区别,优缺点以及使用场景 1.长连接和短连接 2.长连接短连接的区别 3.各自优缺点 4.使用场景
非对称加密算法之RSA算法实现
zhangsir的博客
08-01 8206
对称加密,非对称加密,公钥,私钥,RSA这些常常听到的,到底是怎么回事 有个同事问我公钥私钥到底为什么能互相解开,一时间竟然回答不上来,平时都只是知道怎么用,但很少去了解的更细,现在做个整理,记个笔记 非对称加密简述 公钥加密后的密文,只有私钥才能解密 简单来说,A和B要互相通信,A生成一个公钥和一个私钥, A将公钥传给B, 此时B将公钥和真正的数据M加密,生成密文是N, B再将N通...
jsonp跨域原理,使用以及同源策略
zhangsir的博客
07-30 7944
什么是跨域请求,为什么用跨域 浏览器从一个域名的网页去请求另一个域名的资源时,域名,端口,协议任何一个不同,都算是跨域请求 域名是一个网站的唯一标识,一个域名代表着一个网站以及其对应的服务 服务间调用可以使用基于soa思想的rpc调用,也可以是webservice等等 那么从前端页面发起的调用,就会用到跨域 说跨域就必须先说浏览器的同源策略(SOP(same origin policy)...
X-Frame-Options头未设置 HTTP X-Content-Type-Options头缺失 HTTP Referrer-Policy头缺失
最新发布
08-05
这些是一些常见的安全性问题,涉及到Web应用程序的HTTP响应头设置。这些头部可以帮助提升Web应用程序的安全性和防御机制。下面是对这些头部的简要解释: 1. X-Frame-Options头未设置:X-Frame-Options头是用来防止点击劫持攻击的。如果未设置该头部,攻击者可以通过将恶意网页嵌入到一个iframe中来劫持用户的点击操作。建议设置X-Frame-Options头为"deny"或"sameorigin",以防止此类攻击。 2. X-Content-Type-Options头缺失:X-Content-Type-Options头是用来防止MIME类型欺骗攻击的。如果未设置该头部,攻击者可能会通过伪装成不同的MIME类型来绕过浏览器的安全检查。建议设置X-Content-Type-Options头为"nosniff",以防止此类攻击。 3. Referrer-Policy头缺失:Referrer-Policy头是用来控制浏览器在发送Referer信息时的行为。如果缺少该头部,浏览器可能会默认使用一些不安全的行为,如将Referer信息发送给所有请求目标。建议根据具体需求设置Referrer-Policy头,常见的值有"no-referrer"、"no-referrer-when-downgrade"和"same-origin"等。 这些头部设置可以通过在Web应用程序的服务器端或者Web服务器的配置中进行添加和修改。确保在开发和部署过程中关注和正确设置这些头部,以提升Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值