Referrer策略

最新推荐文章于 2024-05-29 08:45:00 发布
最新推荐文章于 2024-05-29 08:45:00 发布
阅读量3.6k 收藏 5
点赞数 3
分类专栏: HTTP 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhua_2323/article/details/102832568
版权

Referrer简介:

在流量监测中,访客的来源信息是一个很重要的信息,包括访客的访前链接,以及搜索关键词。在HTTP请求中有一个referrer标签,用来指明当前流量的来源参考页。例如在http://www.bitauto.com/上点击一个链接到达www.taoche.com首页,那么就referrer就是http://www.bitauto.com/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于网站分析来说,是非常重要的,这可以告诉我们不同渠道带来的流量的分布情况,还有用户搜索的关键词等,都是通过分析这个referrer信息来获取的。

请求中丢失Referrer信息的几种场景:

  1. 直接流量:访客是通过直接键入地址,进入网页的,这种情况产生的流量属于直接流量,直接流量的请求中没有referrer信息的。
  2. 点击Flash内部链接:如果是通过投放的falsh广告到的本站的话,通过访前链接查询流量就是非常不准确的了。
  3. HTTPS跳转到HTTP:从HTTPS的网站跳转到HTTP的网站时,浏览器是不会发送referrer的。

Referrer信息的丢失使得相对不那么准确的流量数据更加不可琢磨了,也为我们的广告流量监测带来困扰。很多流量统计工具会因此将这部分流量归入“直接流量”,和用户直接键入网址等价了。

希望浏览器不发送referer头的场景:

Referrer策略用于控制浏览器在何种情况下发送referrer信息。该策略可以保护用户的隐私,但也可以使得目前绝大多数站点的防盗链机制失效。

  1. 隐私:一个社交网站会有每个用户的简介页面,用户会在他们的个人主页中添加一些链接。社交网站可能不希望泄露用户的个人主页URL给被链接的网站(因为个人主页URL可能会泄露其主人的身份信息)。
  2. 安全:一个网站应用使用https和基于URL的会话标识。应用也许希望链接其他站点的https资源但不想泄露位于URL中的用户会话标识符。
  3. 引用:基于HTTPS的博客可能希望连接到一个HTTP上的博客并收到引用链接

referrer策略

1.Referrer策略包含以下值:

  • 空字符串
  • no-referrer
  • no-referrer-when-downgrade
  • same-origin
  • origin
  • strict-origin
  • origin-when-cross-origin
  • strict-origin-when-cross-origin
  • unsafe-url

2.下面简单介绍下每种Referrer策略。

  1. .no-referrer:表示所有的请求都不带referrer。
  2. .no-referrer-when-downgrade:主要针对于受TLS保护的URL(如https),简单的说就是https的页面中,当连接的资源也是https的,则发送完整的referrer,如果连接的资源是http的,就不发送referrer。
  3. same-origin:对于同源的链接,会发送referrer,其他的不会。
  4. origin:这个策略对于任何资源来说只发送源的信息,不发送完整的url。
  5. strict-origin(浏览器可能不支持):这个策略类似于origin和no-referrer-when-downgrade的合体,如果一个https页面中链接到http的页面或资源,则不会发送referrer。http页面链接以及https链接到https都只发送来源页面的源信息。
  6. origin-when-cross-origin:该策略在同源的链接中发送完整的URL,其他情况仅发送源信息。
  7. strict-origin-when-cross-origin(浏览器可能不支持):对于同源请求,发送完整的URL;对于同为https的,只发送源信息;对于http页面只发送源信息;https页面中的http请求不发送referrer。
  8. unsafe-url:这个主要是解决https页面中的http资源不发referrer的问题,它会使在https页面中http资源发送完整的referrer。
  9. 空字符串:表示没有referrer策略,默认为no-referrer-when-downgrade。

3.用法:

Referrer策略可以通过以下方法声明:

  • 通过http请求头中的Referrer-Policy字段
  • 通过meta标签,name为referrer
  • 通过<a>、<area>、<img>、<iframe>、<link>元素的referrerpolicy属性。
  • 通过<a>、<area><link>元素的rel=noreferrer属性
  • 通过隐式继承

4.用法举例:

1.http请求头
Referrer-Policy: no-referrer
2.meta标签
<meta name=”referrer” content=”no-referrer” />
3.referrerpolicy属性
<a href=“http://example.com” referrerpolicy=“origin”>
4.rel=noreferrer属性

 

 

 

 

 

 

 

 

 

 

 

liuhua_2323
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript document.referrer 用法
10-29
例如,可以设置为仅在同源策略下发送,或者完全禁用 referrer 信息。 - **HTTPS到HTTP**:从HTTPS页面跳转到HTTP页面时,由于安全原因,`document.referrer` 可能只会提供源站点的顶级域名,而不会提供完整的URL。 ...
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3742
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4419
ReferrerReferrer-Policy简介
控制访问来源:Nginx Referer 模块
最新发布
你知道莽村的莽怎么来的吗!
05-29 1193
HTTP 请求头中,Referer 是一个标头字段,用于指示请求的来源页面的 URL。当用户点击链接访问网页时,浏览器通常会在发送请求时包含 Referer 头。Referer 的存在使得服务器可以知道用户从哪个页面链接过来的。
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 3260
HTTPReferrerReferrer-policy
Referer的理解及防盗链
weixin_64311421的博客
01-09 6330
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
CSRF(跨站请求伪造)
qq_56289291的博客
07-28 820
攻击者可以使用自己的帐户登录到应用程序,获取有效的令牌和关联的cookie,利用cookie设置行为将其cookie放入受害者的浏览器中,并在CSRF攻击中将其令牌提供给受害者。他们只是发明了一个令牌(如果正在检查,可能是所需的格式),利用cookie设置行为将他们的cookie放入受害者的浏览器中,并在他们的CSRF攻击中将他们的令牌提供给受害者。在此情况下,攻击者可以使用自己的帐户登录到应用程序,获取有效令牌,然后在其CSRF攻击中将该令牌提供给受害者用户。顾名思义,没有任何防御CSRF的措施。...
JavaScript中的document.referrer在各种浏览器测试结果
10-25
这是一个浏览器的安全策略,旨在防止恶意网站追踪用户的浏览历史。 除此之外,不同的浏览器对`document.referrer`的处理方式也有所不同。例如: - 在Safari中,如果通过右键点击链接并在新标签页中打开页面,`...
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :)区别此插件已...
Javascript document.referrer判断访客来源网址
10-29
这个属性在多种场景下都有着广泛的应用,比如分析用户行为、实施特定的安全策略或者优化用户体验。 在上述描述中提到的情况,公司想要阻止那些来自已经终止合作的合作伙伴网站的访问,以避免误导用户。通过使用`...
javascript的document.referrer浏览器支持、失效情况总结
10-25
JavaScript中的`document.referrer`属性是用来获取当前页面的来源URL,即用户是从哪个页面跳转过来的。这个属性在Web开发中常用于流量统计、页面分析等场景,以了解用户的浏览路径。然而,`document.referrer`并非...
Referrer Policy
heresin的博客
04-04 6745
Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer  中发送——应该被包含在生成的请求当中。Referrer-Policy: no-referrerReferrer-Policy: no-referrer-when-downgradeReferrer-Policy: originReferrer-Policy: origin-when-cross-originRe...
HTTP首部---referrer 知识点
热门推荐
zhangsir的博客
08-13 2万+
Referrer介绍 Referrer网站来路;访问者进入网站任何途径。HTTP Referer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用语处理。 获取referrer js中获取:var referer = document.referrer; java后台获取:String...
HTTP Referrer-Policy缺失(diwei)
小小关的博客
06-29 4422
新的Referrer Policy规定了五种Referrer策略Referrer Policy States如下:No Referrer策略 属性值:no-referrer 意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略 属性值:no-referrer-when-downgrade 意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息
请求图片资源返回403。referrer服务器防盗链。
VR_Mad的博客
07-18 3165
请求图片资源返回403。referrer服务器防盗链。
nginx常用配置
cention168的专栏
04-17 1999
1。同一个root下不需要urlrewrite就可以重定向路径,比如下面:默认情况下路径是dsgres,假如有20220406,则路径https://www.xxx.com/20220406/index.html的内容变成 https://www.xxx.com/20220411/index.html的内容。 server { listen 9002 ssl; listen [::]:9002 ssl; # root /usr/share/ng...
控制请求来源的HTML Meta标签 - Referrer详解
weixin_42560424的博客
06-27 7142
Referrer属性用于控制HTTP请求中的Referrer信息,即请求的来源URL。通过设置Referrer属性,我们可以决定是否发送Referrer头以及如何发送Referrer头信息。
如何关闭Referrer 策略strict-origin-when-cross-origin
11-08
要关闭Referrer策略strict-origin-when-cross-origin,可以在HTTP响应头中设置Referrer-Policy为no-referrer或者空字符串。...注意:关闭Referrer策略可能会导致一些安全问题,因此在实际应用中需要谨慎考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值