HTTP系列之Referer和Referrer policy简介

最新推荐文章于 2023-01-09 16:55:08 发布
最新推荐文章于 2023-01-09 16:55:08 发布
阅读量881 收藏 2
点赞数
分类专栏: http 文章标签: http
原文链接:https://www.cnblogs.com/mzq123/p/11783699.html
版权

目录

 

1、前言摘要

在csdn网站随便抓个链接来看看:

Referer参数:
在这里插入图片描述
referrer policy是unsafe url的,ok,下面介绍一下Referer和referrer policy
在这里插入图片描述

2、Referer简介

referer参数是http请求头header里的一个关键参数,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer

3、Referer安全性

Referer这个http header的参数应用得当的话,是可以提高安全性的,比如,可以这个参数其实就告诉了链接的请求来源于哪个网站,所以可以根据这个特性,限制一些接口只能本网站的才能调,外部网站不能调

案例:
比如你曾经在浏览器访问过银行A的网站,所以浏览器是有保存Cookie的,Cookie并没有过期,这时,你不小心登录一个恶意的论坛网站还是什么网站,你访问了链接(其实链接后面加的是窃取Cookie,调银行A网站转账API),这时候,如果网站安全性验证不过的话,就会窃取金钱的恶意操作
针对这个银行转账窃取案例,我们或许可以这样改造,我们可以再增加一个验证的工程,不给直接调用转账接口,我们在这个验证工程里加入Referer识别的。这时候,CSRF攻击的话,肯定得在非银行A官网的服务器发送请求,我们改造之后,这个请求会先发送到验证工程这里,这时候解析请求,获取Referer属性进行识别,发现不是银行A官网的地址,这时候直接拦截,拒绝访问。

这个案例是合理应用Referer的,当然Referer是记录来源地址,很显然,这个Referer的url里很可能也会带上一些敏感信息,比如token或者用户的信息等,这些一旦被其它网站窃取了,是很危险的,如果对于Referer参数要合理地使用,所以有必要介绍一下w3c提出的referrer policy

ps:http header里的referer其实是拼写少了一个r,正确的拼写应该是referrer ,不过当初http标准发出来时候,并没有发现拼写错了,所以现在一直保持着拼写错误

4、相关术语

  • 同源策略:同源策略指协议+域名+端口都相同的情况,是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器都会使用这个策略。实际上,这种策略只是一个规范,并不是强制要求,各大厂商的浏览器只是针对同源策略的一种实现

  • 跨域请求:跨域请求就是不符合同源策略的情况,也就是协议、域名、端口有一个或多个不一样,都算是跨域的请求,所以https链接和http链接的相互调用也是属于跨域的请求

5、Referrer Policy

Referrer Policy是W3C官方提出的一个候选策略,主要用来规范Referrer

官网:https://www.w3.org/TR/referrer-policy/

最初是只有5种策略的,现在规范增加到9种

enum ReferrerPolicy {
  "",
  "no-referrer",
  "no-referrer-when-downgrade",
  "same-origin",
  "origin",
  "strict-origin",
  "origin-when-cross-origin",
  "strict-origin-when-cross-origin",
  "unsafe-url"
};

5.1、no-referrer

不发送referrer信息

5.2、no-referrer-when-downgrade

协议降级时候不发送Referrer信息,其实https的网站链接调到http的网站链接

5.3、same-origin

同源链接(协议、域名、端口都相同)发送,否则不发送

5.4、origin

Referrer发送的信息只包括协议+域名+端口,不包括其它信息

5.5、strict-origin

https的网站协议降级访问http的网站,这种情况就是一种不严格的情况,这种情况不发送Referrer,其它情况发送Referrer(协议+域名+端口),注意这里的Referrer同样只包括协议+域名+端口而已

5.6、origin-when-cross-origin

跨域时候发送Referrer(协议+域名+端口),其它情况也就是同源的情况发送完整的Referrer信息

5.7、strict-origin-when-cross-origin

这里有两个条件,1、严格模式,也就是不会出现https的网站协议降级调http的链接;2、跨域,符合这两种情况的,发送Referrer(协议+域名+端口),其它情况包括https的网站调http的链接这种协议降级的情况,等等,还有很多情况,这些情况都发送完整的Referrer

5.8、unsafe-url

这种情况是不管是否协议降级访问,还是同源跨域访问,全都发送Referrer,当然这里的Referrer也是完整的Referrer,有什么就发什么,所以这种是一种不安全的协议

5.9、空字符串

空字符串“”对应于无引用者策略,导致回退到其他位置定义的引用者策略,或者在没有此类更高级别策略的情况下,默认为“ no-referrer-when-downgrade”。此默认设置发生在官网§8.3确定请求的Referrer算法中。

6、Referrer使用方法

单个标签设置:<a>、<area>、<img>、<iframe>、<link>,这些标签都可以设置referrerpolicy属性

<a href="http://example.html" referrerpolicy="origin" target="_blank">链接</a>

全局策略设置:加个meta标签,content="策略"

<meta name="referrer" content="origin">

在这里插入图片描述

kxkltey
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RefererReferrer Policy以及图片防盗链
小王的技术库
06-11 1万+
Referrer-policy作用就是为了控制请求头中referer的内容包含以下值:浏览器兼容性(caniuse.com/?search=ref…%25EF%25BC%259A “https://caniuse.com/?search=referer-policy)%EF%BC%9A”) 如下图: 如: 未加referrerpolicy属性的link元素:比如在自己页面里引入百度贴吧里的一张照片: 但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理 通过Referer或者签
CSRF(跨站请求伪造)
qq_56289291的博客
07-28 820
攻击者可以使用自己的帐户登录到应用程序,获取有效的令牌和关联的cookie,利用cookie设置行为将其cookie放入受害者的浏览器中,并在CSRF攻击中将其令牌提供给受害者。他们只是发明了一个令牌(如果正在检查,可能是所需的格式),利用cookie设置行为将他们的cookie放入受害者的浏览器中,并在他们的CSRF攻击中将他们的令牌提供给受害者。在此情况下,攻击者可以使用自己的帐户登录到应用程序,获取有效令牌,然后在其CSRF攻击中将该令牌提供给受害者用户。顾名思义,没有任何防御CSRF的措施。...
请求图片资源返回403。referrer服务器防盗链。
VR_Mad的博客
07-18 3166
请求图片资源返回403。referrer服务器防盗链。
referrer值的设置及对应的意义
wangsiyisiyi的博客
03-04 2838
在自己的页面中引入一些别的网页上的图片,如果页面中不显示图片,要在html的header中加上 <meta name="referrer" content=“no-referrer”> referrer是用于追踪用户是从哪个页面跳转过来,设置为no-referrer,表示所有请求都不发送referrer. 如果content属性不是合法的取值,浏览器会自动选择no-referer策略...
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4423
ReferrerReferrer-Policy简介
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
总结来说,"Referrer-Policy : strict-origin-when-cross-origin"是提高Web应用安全性的策略之一,尤其在处理跨域请求时能有效保护用户隐私。在前后端联调中,我们主要关注CORS策略解决跨域问题,而Referrer Policy...
Java 通过设置Referer反盗链
09-05
防盗链主要是通过检查HTTP请求头中的`Referer`字段来实现的。当用户从一个外部链接访问网站资源时,浏览器通常会在请求头中携带`Referer`字段,表明是从哪个页面发起的请求。如果`Referer`不在允许的列表内,网站...
Javascript中document.referrer隐藏来源的方法
11-26
在服务器端,可以通过修改HTTP响应头中的`Referrer-Policy`字段来控制`referrer`的发送策略。例如,设置为`no-referrer`可以完全禁用`referrer`。 ```http Referrer-Policy: no-referrer ``` 4. **HTML5的...
request.getHeader("referer")防盗链
05-07
因此,为了增强安全性,通常会结合其他策略,如使用Token验证、设置HTTP Referrer-Policy等。 在实际开发中,"FangDaoLian_Test"这样的文件名可能代表了一组测试案例,用于检验防盗链功能的正确性和有效性。这些...
ruanyf#articles#2019-06-04-HTTP Referer 教程1
07-25
四、rel属性 五、Referrer Policy 的值 六、Referrer Policy 的用法 七、退出页面重定向
Referer的理解及防盗链
weixin_64311421的博客
01-09 6336
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
Referrer-Policy常见属性
qq_42808052的博客
09-30 9699
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
谈谈Yii::app()->request->urlReferrer
houxianyj的专栏
06-11 6121
/** * Returns the URL referrer, null if not present * @return string URL referrer, null if not present */ public function getUrlReferrer() { return isset($_SERVER['HTTP_REFERER'])?$_SERVER['HTTP
URL重定向,refererreferrer和安全
热门推荐
奥特打小怪的博客
08-04 2万+
URL重定向,refererreferrer和安全,
利用Referer+URL参数 实现登录后自动跳回登录前页面
irelandken的专栏
03-27 4075
登录后自动跳回登录前页面 原理: 利用Referer+URL参数实现 1:用户未登录,试图点击下载(下载前需要登录),点击Download时,发出的请求会带上Referer头 2: 重定向到登录页面时将此Referer头里的URL以URL参数方式带到登录页面,如: 3:登录时提交表单的时候,将direct_url一起发送到服务
php 添加referer,php:重定向到referer url,但添加一些querystring
weixin_33122261的博客
04-16 471
我有一些代码可以从几个不同的页面访问。根据它来自哪个页面以及它发送了哪些变量,它会做些微不同的事情。php:重定向到referer url,但添加一些querystring我想我可以为每个引用页面编写全新的页面,但真的不希望这样做,因为功能类似。在发生错误的情况下,我想重定向回到引用页面。同样,一旦成功,我也想重新引导回引荐页面。但是,我想添加一个描述错误的参数,或者让用户知道区分失败和成功是成功...
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 7051
1、 目标URL存在http host头攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应头缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
$_SERVER中的HTTP_REFERER参数的用法
qq_36627117的博客
06-10 3353
转自:https://blog.csdn.net/u011250882/article/details/49679535引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改&n...
Referrer Policy
最新发布
06-10
Referrer Policy(引用者策略)是一个HTTP头部,它控制浏览器在发送请求时是否包含Referer(引用者)头部信息,该头部信息包含了当前页面的URL地址。Referrer Policy可以用来保护用户的隐私,因为通过Referer头部信息,网站可以获取到用户访问来源的信息,包括用户的浏览历史、搜索关键字等。 Referrer Policy有以下几个取值: - no-referrer:不发送Referer头部信息。 - no-referrer-when-downgrade:默认值,对于HTTPS请求,不发送Referer头部信息;对于HTTP请求,发送完整的URL地址作为Referer头部信息。 - same-origin:只在请求和当前页面同源的情况下发送Referer头部信息。 - origin:只发送当前页面的来源地址(协议、域名、端口)作为Referer头部信息。 - strict-origin:只在请求和当前页面同源的情况下发送Referer头部信息,并且不包含路径信息。 - origin-when-cross-origin:对于同源请求,只发送当前页面的来源地址作为Referer头部信息;对于跨域请求,发送完整的URL地址作为Referer头部信息。 - strict-origin-when-cross-origin:对于同源请求,只发送当前页面的来源地址作为Referer头部信息;对于跨域请求,只发送当前页面的来源地址(协议、域名、端口)作为Referer头部信息,并且不包含路径信息。 可以在HTTP响应头部中添加Referrer-Policy头部信息来设置引用者策略,例如: ``` Referrer-Policy: no-referrer ``` 以上代码设置了引用者策略为no-referrer,表示浏览器在发送请求时不会发送Referer头部信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值