Origin 或 Referer 的关系和区别

最新推荐文章于 2024-02-19 23:51:25 发布
最新推荐文章于 2024-02-19 23:51:25 发布
阅读量809 收藏 8
点赞数 9
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17335549/article/details/135554793
版权

Origin 或 Referer 的关系和区别

  1. Origin 和 Referer 都可以服务端用来做来源验证,来防止 csrf 攻击,都是浏览器自动带在请求头的
  2. 但是,可以通过 Referrer Policy 来禁止请求携带 referer,【请求头增加字段 Referrer-Policy: no-referrer/origin等】所以服务器验证请求中的 referer 不太可靠
  3. 因此标准委员会又制定了 origin 属性,在一些重要的场合,比如通过 XMLHttpRequest 、fetch 发起跨站请求时,都会带上 origin
  4. Origin 包含协议、主机和端口,不包含路径
  5. Referer 只包含了源页面的 URI,包含路径,而且该字段可能在用户隐私方面存在一些敏感性问题。
  6. Origin 主要用于跨站请求的安全性检查,而 Referer 则是提供请求来源信息的通用手段,可用于日志记录、统计分析等。
  7. 所以对于 csrf 来源验证,服务器的策略是有优先判断 origin;如果请求头中没有包含 origin 属性 ,再根据实际情况判断是否使用 referer 

Origin:

  • 用途: Origin 请求头用于表示一个 URI 的起源,包括协议、主机和端口。
  • 格式: Origin: <scheme>://<host>:<port>
  • 安全性: Origin 是由浏览器自动设置的,它通常用于跨站请求的安全性检查。在跨域请求时,浏览器会检查目标服务器是否允许来自特定 Origin 的请求,如果不允许,浏览器会阻止此类请求。
  • origin的值不能手动修改,不能手动设置都是浏览器自动的

Referer:

  • 用途: Referer 请求头用于表示请求的来源页面的 URI。它指明了用户是从哪个页面跳转或提交请求的。
  • 格式: Referer: <origin>
  • 安全性: Referer 是由浏览器设置的,但它不像 Origin 那样用于强制安全性检查。虽然 Referer 也可以在某些场景下用于防范 CSRF 攻击,但它的值可由用户和服务端控制,不是可靠的安全控制手段。
  • 可以手动修改document.write('<meta name="referrer" content="http://example.com">')但是会收到安全限制,不建议
我有一棵树
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Origin字段 Header 为了防止CSRF的攻击
xiejin2008的专栏
07-08 5665
为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主...
PHP伪造referer实例代码
10-30
伪造referer实例代码,主要用于一些突破防盗链
HTTP中OriginReferer的区别
Learn-anything.cn
11-24 5141
一、简介 HTTP 协议,用 Header 中的 OriginReferer 来表示请求链接的来源,他们在使用上有些区别。 二、Origin 详解 Origin 指示了请求来自于哪个站点,只有服务器名,不包含路径信息,浏览器自动添加到http请求 Header 中,无需手动设置。 1、添加 Origin 的情况 同源请求:POST、OPTIONS、PUT、PATCH 和 DELETE请求都会添加Origin请求头,GET或HEAD请求不会添加Origin请求头。 跨域请求:所有跨域请求(CORS
Originrefer的区别
weixin_35755640的博客
01-24 729
Origin 指的是请求发起者的源地址,它是一个 URL。Refer 指的是请求来源页面的地址,也是一个 URL。 简单来说,Origin 指的是请求发起者的网址,而 Refer 则指的是请求来源页面的网址。 ...
HTTP 头部- Origin Referer
最新发布
青衫客36的博客
02-19 1724
Origin请求头部是一个 HTTP 头部,它提供了发起请求的网页的源(协议、域名和端口)信息。它通常在进行跨域资源共享(CORS)请求时使用,以便服务器可以决定是否接受请求。假设我们在浏览器的地址栏输入并访问,这个网站上有一个 AJAX 请求,该请求需要从获取数据。当这个 AJAX 请求被发出时,浏览器会自动添加一个Origin服务器会检查这个Origin头部,根据设置的 CORS 策略来决定是否允许这个请求。如果 CORS 策略允许来自的请求,服务器将响应数据并在响应头部中包含适当的头部。
http 的 originreferer
weixin_42600407的博客
01-15 921
HTTP 的 OriginReferer 是 HTTP 请求头中的两个字段。 Origin 是请求的来源,表示请求的页面的源地址。 Referer 是引用的来源,表示请求来源的页面地址。 两者的区别在于,Origin 是请求页面的源地址,而 Referer 是请求来源的页面地址。例如,当用户在浏览器中点击链接访问一个页面时,Origin 就是用户所在的页面,而 Referer 是点击的链...
[HTTP趣谈]origin,referer和host区别
热门推荐
皮皮的博客
03-13 2万+
[HTTP趣谈]origin,referer和host区别 发起一个ajax请求时,request header里面有三个属性会涉及请求源信息。前端可能用不到这些值,但是,后台业务系统会比较关心它们,场景可能有: 处理跨域请求时,必须判断来源请求方是否合法; 后台做重定向时,需要原地址信息; 作为前端,了解三者的区别和使用场景,还是有很意义的。 先看图: host.png ...
HTTP杂谈之Referer和Origin请求头再探
wzj_110的博客
08-02 1534
OriginReferer请求头的关联。关于Referer和Origin的汇总。细节点、重点、难点挖掘。
http请求头originreferer和host区别
wangpf2011的博客
01-04 9634
1. Host 描述请求将被发送的目的地,包括且仅仅包括域名和端口号。 HTTP/1.1 的所有请求报文中必须包含一个Host头字段,且只能设置一个。 2. Origin 请求头origin表明了请求来自于哪个站点。包括且仅仅包括协议、域名和端口,并不包含任何路径信息。经常用于CORS请求或者POST请求,可以看到response有对应的header:Access-Control-Allow-Origin。 @CrossOrigin(origins="http://wx.xxxx.com:80")
解密http请求头的Host,Referer,Origin背后的含义:
m0_52358470的博客
12-23 1万+
http请求头的Host,Referer,Origin
http请求头中的originreferer、host
时清云的博客
08-20 1万+
发送一个请求时,Request Headers(请求头)中会包含很多字段,我们来看一下请求头中的originreferer、host的含义和区别。 我们先看一下请求头中包含这几个字段的情形。 1、Host 表示当前请求要被发送的目的地,说白了就是当前请求发送到哪里,host代表的是接收这个请求的目的地的host,仅包括域名和端口号,如test.pay.com:8090。在任何类型请求中,request都会包含此header信息。 2、Origin 表示当前请求资源所在页面的协议和域名,用来说明请求从哪里
VBS伪造HTTP-REFERER的实现方法
09-05
最近用VBS模拟POST提交表单,发现遇到检测Referer的页面就不管用了。
asp Http_Referer,Server_Name和Http_Host
10-30
以前感觉Request.ServerVariables里的值很多,现在看看还是那么多,不过今天谈其中的一个值----HTTP_Referer以及Request.ServerVariables里Server_Name与Http_Host之间有什么区别呢?
nginx利用referer指令实现防盗链配置
09-30
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求,我们应该牢记。下面这篇文章主要介绍了nginx利用referer指令实现防盗链配置的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
Nginx设置Referer来防止盗图的实现方法
09-29
主要介绍了Nginx设置Referer来防止盗图的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用JavaScript和C#中获得referer
10-25
经常使用其他脚本语言(ASP ASP.NET PHP等)获取页面的浏览来源,今天我们来研究下使用Javascript以及C#获取页面的referer。
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
laravel-referer:记住访问者的原始referer
02-03
如果URL中存在外部主机,则来自请求的Referer标头中的域 空的 支持我们 我们投入了大量资源来创建。 您可以通过来支持我们。 非常感谢您从家乡寄给我们一张明信片,其中提到您使用的是哪个包装。 您可以在上找到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值