Referrer
referrer
是HTTP
请求header
的报文头,用于指明当前流量的来源参考页面。通过这个信息,我们可以知道访客是怎么来到当前页面的。这对于Web Analytics
非常重要,可以用于分析不同渠道流量分布、用户搜索的关键词等。
但是,这个字段同时会造成用户敏感信息泄漏(如:带有敏感信息的重置密码URL,若被Web Analytics
收集,则存在密码被重置的危险)。
所以就有了 Referrer Policy
,用于过滤 Referrer
报头内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。具体的可查看这里。
指令值
目前包含了以下几种指令值:
enum ReferrerPolicy {
"",
"no-referrer",
"no-referrer-when-downgrade",
"same-origin",
"origin",
"strict-origin",
"origin-when-cross-origin",
"strict-origin-when-cross-origin",
"unsafe-url"
};
-
空字符串
按照浏览器的默认值执行。默认值为no-referrer-when-downgrade
。部分标签可重定义此安全策略。 -
no-referrer
从字面意思就可以理解,不传递Referrer
报头的值。 -
no-referrer-when-downgrade
当发生降级(比如从https
😕/ 跳转到http
😕/ )时,不传递Referrer
报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | http://example.com/path | http://example.com?token=123 |
https//example.com | http://example.com/path | 无(协议降级) |
http://example.com?token=123 | https://example.com/path | http://example.com?token=123 |
same-origin
同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递Referrer
。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | http://example.com/path | http://example.com?token=123 |
https//example.com | http://example.com/path | 无(协议降级) |
http://example.com?token=123 | https://example.com/path | 无(协议降级) |
http://example.com?token=123 | http://example.com:88/path | 无(端口不同) |
https://example.com?token=123 | https://caixw.io | 无(域名不同) |
origin
将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作Referrer
。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com |
http://example.com?token=123 | https://example.com/path | http://example.com |
https://example.com?token=123 | https://caixw.io | https://example.com |
strict-origin
类似于origin
,但是不能降级。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com |
http://example.com?token=123 | https://example.com/path | http://example.com |
http://example.com?token=123 | http://caixw.io | http://example.com |
https://example.com?token=123 | http://caixw.io | 无 |
origin-when-cross-origin
跨域时(协议、域名和端口只有一个不同)和origin
模式相同,否则Referrer
还是传递当前页的全路径。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | https://example.com/path | http://example.com?token=123 |
http://example.com?token=123 | http://caixw.io | http://example.com |
strict-origin-when-cross-origin
与origin-when-cross-origin
类似,但不能降级。
原地址 | 跳转地址 | Referrer |
---|---|---|
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
https://example.com?token=123 | https://caixw.io | https://example.com |
https://example.com?token=123 | http://example.com/path | 无 |
https://example.com?token=123 | http://example.com/ | 无 |
unsafe-url
任意情况下,都发送当前页的全部地址到Referrer
,最宽松和不安全的策略。
传递方式
Referrer-Policy 报头
推荐的方式,直接在 Referrer-Policy
报头中设置。
Referrer-Policy: origin;
Meta
通过指定 name
值为 referrer
的 meta
标签,也可以达到相同的效果:
<meta name="referrer" content="strict-origin" />
content
可以是上面的指定的值,也可以是下面这几种旧的指令值,会自动作相应的转换,但不推荐这些旧的指令值:
Legacy | Referrer |
---|---|
never | no-referrer |
default | no-referrer-when-downgrade |
always | unsafe-url |
origin-when-crossorigin | origin-when-cross-origin |
- 标签属性
a
和link
标签可以通过属性rel
指定noreferrer
,仅对当前链接有效;a
、area
、link
、iframe
和img
还可以通过referrerpolicy
指定仅针对当前链接的设置。