HTTP Referrer-Policy缺失(diwei)

最新推荐文章于 2024-03-30 16:17:57 发布
最新推荐文章于 2024-03-30 16:17:57 发布
阅读量4.1k 收藏 2
点赞数
文章标签: 运维 linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54434140/article/details/125517407
版权

 新的Referrer Policy规定了五种Referrer策略Referrer Policy States如下:

No Referrer策略
属性值:no-referrer 
意义:任何情况下都不发送 Referrer 信息。

No Referrer When Downgrade策略
属性值:no-referrer-when-downgrade
意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。

Origin Only策略
属性值:origin
意义:发送只包含host部分的 Referrer。启用这个规则,无论是否发生协议降级,无论是本站链接还是站外链接,都会发送 Referrer信息,但是只包含协议+host部分(不包含具体的路径及参数等信息)。

Origin When Cross-origin策略
属性值:origin-when-crossorigin
意义:仅在发生跨域访问时发送只包含host的Referrer,同域下还是完整的。它与Origin Only的区别是多判断了是否Cross-origin。需要注意的是协议、域名和端口都一致,才会被浏览器认为是同域;

Unsafe URL策略
属性值:unsafe-url 
意义:无论是否发生协议降级,无论是本站链接还是站外链接,统统都发送 Referrer 信息。正如其名,这是最宽松而最不安全的策略;

    怎么应用上面的Referrer策略呢?主要有两种方法,一种是在服务端使用响应头信息控制,一种是使用页面中meta标签属性控制。

1.服务端对Referrer的控制,以Nginx为例。直接在Nginx的响应上增加定义该Referrer-Policy响应头信息即可:

#nginx中增加对Referrer的控制
add_header  Referrer-Policy  "origin-when-crossorigin";
add_header 'Referrer-Policy' 'origin';
add_header 'Referrer-Policy' 'unsafe-url';

2.可以在页面中meta标签属性控制

#的html响应元素中控制
<meta name="referrer" content="no-referrer">
<meta name="referrer" content="no-referrer-when-downgrade">
<meta name="referrer" content="origin">
BK_小小关
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 6519
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
前后端联调跨域问题
nginx 漏洞修复(二)
趴着的猫的博客
05-18 4554
1、HTTP Referrer-Policy 响应头缺失 描述: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有:.
检测到目标Referrer-Policy响应头缺失
lxyoucan的博客
07-14 2897
Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
03-30 459
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
webappsec-referrer-policy:WebAppSec推荐人政策
05-06
规范“ webappsec-referrer-policy” 这是webappsec-referrer-policy的存储库。 欢迎您来贡献! 让我们摆脱困境吧!
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 此插件已通过所有测试用例。 且选项没有差异。 安装 通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法 const fastify = require ( 'fastify' ) ; const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ; const app = fastify ( ) ; app . register ( fastifyReferrerPolic
Show Referrer-crx插件
04-03
语言:English Chrome扩展程序可使用引荐来源网址标记网页 Chrome扩展程序可在网页上添加标记,并在http://romkey.com/code/show-referrer-chrome-extension/上提供该网页的引荐来源。该网页在MIT许可下位于https://github.com上。 com / romkey / ShowReferrer
安全漏洞修复帖
weixin_45067120的博客
03-09 1653
整理系统遇到的安全漏洞
no-referrer-when-downgrade什么意思
热门推荐
lxw1844912514的博客
03-12 3万+
no referrer when downgrade的意思:降级时不推荐。 从一个网站链接到另外一个网站会产生新的http请求,referrerhttp请求中表示来源的字段。 no-referrer-when-downgrade表示从https协议降为http协议时不发送referrer给跳转网站的服务器。 在页面引入图片、JS 等资源,或者从一个页面跳到另一个页面,都会产生新的...
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8391
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
Referer和Referrer Policy以及图片防盗链
小王的技术库
06-11 9725
Referrer-policy作用就是为了控制请求头中referer的内容包含以下值:浏览器兼容性(caniuse.com/?search=ref…%25EF%25BC%259A “https://caniuse.com/?search=referer-policy)%EF%BC%9A”) 如下图: 如: 未加referrerpolicy属性的link元素:比如在自己页面里引入百度贴吧里的一张照片: 但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理 通过Referer或者签
Tomcat 的安全方面设置 简单配置过程 说明
05-19
Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明 Tomcat 的安全方面设置 简单配置过程 说明
Referrer Policy 介绍
johnhuster的专栏
12-15 2万+
Referrer Policy 介绍
安全扫描出现的响应头缺失安全问题汇总
次日清晨的博客
07-12 2955
解决安全漏洞:检测到目标服务器启用了OPTIONS方法 点击劫持:X-Frame-Options未配置 检测到目标Referrer-Policy响应头缺失 Content-Security-Policy响应头确实 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 检测到目标X-Content-Type-Options响应头缺失 检测到目标X-XSS-Protection响应头缺失 检测到目标X-Download-Options响应头缺失 点击劫持:X-Frame-Op.
AppScan检测“Content-Security-Policy”头缺失或不安全
liudoyang的博客
12-31 2万+
“Content-Security-Policy”头缺失或不安全 用AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
使用nginx处理的一些安全漏洞
fanggeyan的博客
07-19 7462
nginx.conflocation根据项目路径配置(实际就是把/替换为/;负载也会产生一条set-cookies信息,upstreamroute后加上SecureHttpOnly。控制referer来源,例如非192.168.41网段地址返回403错误。nginx.conflocation添加。nginx.conflocation设置。nginx.confserver下配置。nginx.confhttp添加。nginxlocation配置。......
网站请求出现Referrer Policy: no-referrer-when-downgrade的问题
jkwanga的博客
07-24 1万+
网站请求出现Referrer Policy: no-referrer-when-downgrade的问题 #netstat –nap |grep 443 //查看端口信息 #ps –ef |grep nginx //查看nginx是否启动 #systemctl status nginx –l //查看nginx 的错误信息 一般是跨域的问题 检查nginx的启动是否正常 此次是 https的证书位置忘记更改导致的nginx没启动起来 ...
X-Frame-Options头未设置 HTTP X-Content-Type-Options头缺失 HTTP Referrer-Policy缺失
08-05
这些是一些常见的安全性问题,涉及到Web应用程序的HTTP响应头设置。这些头部可以帮助提升Web应用程序的安全性和防御机制。下面是对这些头部的简要解释: 1. X-Frame-Options头未设置:X-Frame-Options头是用来防止点击劫持攻击的。如果未设置该头部,攻击者可以通过将恶意网页嵌入到一个iframe中来劫持用户的点击操作。建议设置X-Frame-Options头为"deny"或"sameorigin",以防止此类攻击。 2. X-Content-Type-Options头缺失:X-Content-Type-Options头是用来防止MIME类型欺骗攻击的。如果未设置该头部,攻击者可能会通过伪装成不同的MIME类型来绕过浏览器的安全检查。建议设置X-Content-Type-Options头为"nosniff",以防止此类攻击。 3. Referrer-Policy缺失Referrer-Policy头是用来控制浏览器在发送Referer信息时的行为。如果缺少该头部,浏览器可能会默认使用一些不安全的行为,如将Referer信息发送给所有请求目标。建议根据具体需求设置Referrer-Policy头,常见的值有"no-referrer"、"no-referrer-when-downgrade"和"same-origin"等。 这些头部设置可以通过在Web应用程序的服务器端或者Web服务器的配置中进行添加和修改。确保在开发和部署过程中关注和正确设置这些头部,以提升Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BK_小小关

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值