http 策略之 Referrer-Policy

最新推荐文章于 2024-08-13 09:02:16 发布
最新推荐文章于 2024-08-13 09:02:16 发布
阅读量1.6k 收藏 3
点赞数 1
文章标签: java html http nginx ajax
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1NTEzMDAxNQ==&mid=2247490515&idx=1&sn=5938a5f8784a8cf14d1730c025e55107&chksm=fbd85623ccafdf35ee5dd8b5962f0a630fb558ed0f84145c6be14ec4bde352feceb274743602&scene=126&&sessionid=0
版权

一、背景

说道referer ,大家想必知道的清楚一些。referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer信息,可以判断该请求是否来源于本网站。这样就可以一定程度上避免其他网站盗取自身服务器信息,或者可以通过referer来实现广告流量引流,说白了,referer是一种客户端带到服务器的客户端信息,而Referrer-Policy则是客户端对这个带信息策略的配置。

二、配置方式

1 、HTML 配置

既然是客户端策略,那么在HTML中的配置想必大家应该都清楚:

<meta name="referrer" content="origin">

或者用 <a>、<area>、<img>、<iframe>、<script> 或者 <link> 元素上的 referrerpolicy 属性为其设置独立的请求策略。

<a href="http://example.com" referrerpolicy="origin">

另外也可以在<a>、<area> 或者<link> 元素上将 rel属性设置为 noreferrer。

<a href="http://example.com" rel="noreferrer">

2、CSP响应头设置

CSP(Content Security Policy)

Content-Security-Policy:

referrer no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;

三、API

Referrer-Policy: no-referrer

Referrer-Policy: no-referrer-when-downgrade

Referrer-Policy: origin

Referrer-Policy: origin-when-cross-origin

Referrer-Policy: same-origin

Referrer-Policy: strict-origin

Referrer-Policy: strict-origin-when-cross-origin

Referrer-Policy: unsafe-url

no-referrer

整个 Referer 首部会被移除。访问来源信息不随着请求一起发送

no-referrer-when-downgrade (默认值)

在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。

origin

在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。

origin-when-cross-origin

对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。

same-origin

对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息

strict-origin

在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。

strict-origin-when-cross-origin

对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。

unsafe-url

无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全的策略了)

四、推荐

推荐使用strict-origin-when-cross-origin 作为默认的referer策略。这是适配同源模式下,防止CSRF攻击的最佳实践

9ca74a116dbc68018fb18f75c2fe2141.png

lxw1844912514
关注
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3765
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 6798
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
Referrer Policy 介绍
EmotionComputer
10-25 3220
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也对用户产生了一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的(比如get请求中的参数),会原样不动地当作 Referrer 报头的内容传递给第三方网站。 所以就有了 Referrer Policy,用于过滤 Referrer 报头内容,目前是一个候选标准,不过已经
引用站点策略Referrer Policy
最新发布
weixin_63490470的博客
08-13 1072
引用站点策略Referrer Policy)是HTTP响应头中的一个安全相关字段,用于控制在用户从一个页面导航到另一个页面时,是否以及如何发送 referrer 信息。Referrer 是指当前页面的上一个页面的 URL,通过这个字段可以追踪用户的来源。默认情况下,浏览器会将完整的 referrer URL 发送给目标页面,这可能包含敏感信息如登录凭证或个人数据。为了保护用户隐私和安全,网站管理员可以通过设置 Referrer-Policy 来控制 referrer 的内容和发送方式。
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 3937
HTTPReferrerReferrer-policy
Referrer-Policy常见属性
qq_42808052的博客
09-30 9753
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
总结来说,"Referrer-Policy : strict-origin-when-cross-origin"是提高Web应用安全性的策略之一,尤其在处理跨域请求时能有效保护用户隐私。在前后端联调中,我们主要关注CORS策略解决跨域问题,而Referrer Policy...
Referrer Policy
weixin_45221036的博客
11-20 3337
Referrer Policy 参考: Referrer Policy 介绍 Referrer Policy Referrer-Policy 浏览器的同源策略 介绍 Referrer Policy中文翻译过来是“来源页面政策”,该字段存在于http请求的公共部分General中,用于过滤 Referrer 报头内容 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等
接口基础-HTTP请求中的referrerReferrer-Policy
心田幽兰开 的专栏
04-29 1173
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。 什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请求的。 使用场景 有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头中,
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 此插件已通过所有测试用例。 且选项没有差异。 安装 通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法 const fastify = require ( 'fastify' ) ; const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ; const app = fastify ( ) ; app . register ( fastifyReferrerPolic
HTTPReferrer Policy
CSDN
08-11 1868
客户端通过设置Referrer Policy来控制是否在请求头中告知服务端请求来源。来源信息写在生成的请求头的referer中。 注意 Referer 实际上是单词 “referrer” 的错误拼写。Referrer-Policy 这个首部并没有延续这个错误拼写。 Referrer Policy的取值: no-referrer 整个 Referer 首部会被移除。访问来源信息不随着请求一起...
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1269
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
HTTPReferrerReferrer Policy介绍
《穷小子的IT世界》的专栏
12-16 350
Referrer referrerHTTP请求header的报文头,用于指明当前流量的来源参考页面。通过这个信息,我们可以知道访客是怎么来到当前页面的。这对于Web Analytics非常重要,可以用于分析不同渠道流量分布、用户搜索的关键词等。 但是,这个字段同时会造成用户敏感信息泄漏(如:带有敏感信息的重置密码URL,若被Web Analytics收集,则存在密码被重置的危险)。 Referrer 还是 Referer? Referer是上世纪 90 年代由Philip Hallam-Baker提
ReferrerReferrer-policy
m0_56501091的博客
01-10 222
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP).strict-origin: 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
web服务器配置Referrer-Policy配置头信息
05-26
在Web服务器上配置Referrer-Policy可以通过设置HTTP响应头来实现。Referrer-Policy头控制浏览器在发送referer(引荐页)头时所使用的策略。 以下是一些常见的Referrer-Policy配置: - no-referrer:不发送Referrer头 - no-referrer-when-downgrade:同源时发送Referrer头,跨域时不发送 - origin:只发送当前页面的协议、域名和端口信息作为Referrer头(不带路径和查询参数) - origin-when-cross-origin:同源时发送完整的Referrer头,跨域时只发送当前页面的协议、域名和端口信息作为Referrer头(不带路径和查询参数) - same-origin:同源时发送完整的Referrer头,跨域时不发送 - strict-origin:只发送当前页面的协议、域名和端口信息作为Referrer头(不带路径和查询参数),并且只在HTTPS到HTTPS的请求中发送 - strict-origin-when-cross-origin:同源时发送完整的Referrer头,跨域时只发送当前页面的协议、域名和端口信息作为Referrer头(不带路径和查询参数),并且只在HTTPS到HTTPS的请求中发送 具体实现方式可以根据不同的Web服务器进行配置,例如在Apache服务器中可以通过修改.htaccess文件实现: ``` <IfModule mod_headers.c> Header set Referrer-Policy "no-referrer" </IfModule> ``` 在Nginx服务器中可以通过修改配置文件实现: ``` add_header Referrer-Policy "no-referrer"; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值