HTTP headers 之 host, referer, origin

最新推荐文章于 2024-03-30 18:41:28 发布
最新推荐文章于 2024-03-30 18:41:28 发布
阅读量2.3k 收藏 7
点赞数 1
原文链接:https://www.jianshu.com/p/91bf4e276210
版权

http headers

 

还在对 HTTP 头中的 host, referer, origin 傻傻分不清吗。今天我们就来弄清楚他们的区别及用途。

1. host

1.1 定义

Host 请求头指明了请求服务器的域名/IP地址和端口号。

组成:域名+端口号

例子:test.com:1998

如果没有给定端口号,会自动使用被请求服务的默认端口(比如请求一个HTTP的URL会自动使用80端口)。

HTTP/1.1 的所有请求报文中必须包含一个 Host 头字段。如果一个 HTTP/1.1 请求缺少 Host 头字段或者设置了超过一个的 Host 头字段,一个400(Bad Request)状态码会被返回。

1.2 用途

我们知道,不同的域名通过 A 记录或者 CNAME 方式可以连接都同一个 IP 下,同一个 IP 也可以设置多个不同站点,那么访问不同的域名都转发到同一 IP ,怎么区分这些不同的站点呢,就是用的 Host 字段。这样每次访问都会根据不同的 Host 的信息请求到不同的站点上面。

简而言之,就是主要应用在虚拟主机技术上。虚拟主机(virtual hosting)即共享主机(shared web hosting),可以利用虚拟技术把一台完整的服务器分成若干个主机,因此可以在单一主机上运行多个网站或服务。

比如说有一台 ip 地址为 11.11.11.11 的服务器,在这台服务器上部署着淘宝、京东、拼多多的网站,并且配置了三个虚拟主机:a.com, b.com, c.com, 这三个域名都指向 11.11.11.11。 当我们访问 c.com 的网站时,看到的是拼多多的页面而不是淘宝和京东的页面,原因就是 Host 请求头决定着访问哪个虚拟主机。

虚拟主机

2. referer

2.1 定义:

Referer 首部包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。

组成:协议+域名+端口号+路径+参数(注意,不包含 hash值)

例子:http://test.com:1998/home

需要注意的是 referer 实际上是 "referrer" 误拼写。

在以下几种情况下,Referer 不会被发送:

  • 来源页面采用的协议为表示本地文件的 "file" 或者 "data" URI;
  • 当前请求页面采用的是非安全协议,而来源页面采用的是安全协议(HTTPS);
  • 直接输入网址或通过浏览器书签访问;
  • 使用 JavaScript 的 Location.href 或者是 Location.replace();
  • 使用 html5 中 noreferrer

2.2 用途

服务端一般使用 Referer 首部识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等,还有个常见的用途是图片防盗链。

防盗链原理是:当用户访问网页时,referer就是前一个网页的URL;如果是图片的话,通常指的就是图片所在的网页。当浏览器向服务器发送请求时,referer就自动携带在HTTP请求头了。
图片服务器根据这个请求头判断,如果 referer 不是自己的服务器,就将其拦截。

比如说掘金的图片:

https://user-gold-cdn.xitu.io/2019/9/23/16d5d0e6314aac90?imageView2/0/w/1280/h/960/format/webp/ignore-error/1

直接在浏览器中打开是可以访问的,因为此时 referer 不会被发送。

而如果把图片放到自己的网站下,是看不到正常图片的。

[图片上传失败...(image-3cb661-1569576182687)]

因为 referer 不在掘金白名单里。(掘金、微信等客户端能看到,因为在掘金白名单里)

那么如何破解盗链呢,常用的是用一个服务器程序作为代理爬虫,服务器爬虫可以自由地设置请求头。

但是 referrer 存在很多问题。比如说在请求外部网站的时候,携带着 url 的很多参数信息,而这些信息实际上是隐私的,所以存在一定的隐私暴露风险。
下面的 origin 就不存在这种隐私问题。

3. origin

3.1 定义

请求首部字段 Origin 指示了请求来自于哪个站点。该字段仅指示服务器名称,并不包含任何路径信息。除了不包含路径信息,该字段与 Referer 首部字段相似。

该首部用于 CORS 请求或者 POST 请求

组成:协议+域名+端口号

注意:只有跨域请求(可以看到 response 有对应的 header:Access-Control-Allow-Origin),或者同域时发送post请求,才会携带origin请求头。
如果浏览器不能获取请求源,那么 origin 满足上面情况也会携带,不过其值为null。

而referer不论何种情况下,只要浏览器能获取到请求源都会携带。如果浏览器如果不能获取请求源,那么请求头中不会携带referer。

3.2 用途

用于 CORS: 当我们的浏览器发出跨站请求时,服务器会校验当前请求是不是来自被允许的站点。服务器就是通过 Origin 字段的值来进行判断。



作者:王乐乐16
链接:https://www.jianshu.com/p/91bf4e276210
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

thlzjfefe
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
了解HTTP Headers的方方面面 图文说明
09-28
无论是做前端还是做后端,都会不时与HTTP Headers打交道,了解它无疑对Web开发有莫大帮助。这篇文章就让我一起来学习下http headers的方方面。
Unity3d www Http 请求 Headers 验证
07-12
Unity3d www Http 请求 Headers 验证 文档地址:https://blog.csdn.net/nicepainkiller/article/details/75008516
http 协议详解
北冥有鱼的Blog
03-13 636
本文作者:Anthem & hl0rey 文章来源:RTIS 雏鹰进阶之路 小伙伴 Anthem 第一周的总结,hl0rey 对其进行了扩展,更多小伙伴的总结尽在 知识星球 HTTP 协议,即超文本传输协议 (Hypertext transfer protocol)。 是一种详细规定了浏览器和万维网 (WWW = World Wide Web) 服务器之间互相通信的规则,通
HTTP请求头中的Host表示是什么?
qq_43539664的博客
03-30 313
表示处理请求的服务器地址,由于一台服务器可能部署多个网站,如果通过域名访问,host就是域名。
HTTP header中的host的作用
sometime here
09-03 9803
比如,我们在地址框内输入:1.com这个网址,因为我们要访问网络的另一端是通过IP地址来定位的,所以我们要先拿到IP地址。第一步:把这个域名1.com发给DNS域名服务器,然后得到第二步中它返回的IP地址,假设是1.1.1.1。 然后第三步,我们通过IP地址找到了目标主机,但是目标主机体内装有三个虚拟机,每一个虚拟机都架设了一个网站。假如这个时候没有host的话,我们就不知道请求哪一个虚拟机了...
HTTP中的Host字段【转】
Uaena的博客
02-17 791
(转自:https://blog.csdn.net/zj6257/article/details/83012282) 我们知道Http请求头信息里面会带有一个Host字段,很多人不是很清楚这个字段具体的作用或者用法,包括我被很多人问过也曾经有些迷茫,这里具体扫盲下。 我们知道一个IP地址可以对应多个域名,比如假设我有这么几个域名www.qiniu.com,www.taobao.com和www....
HTTP Host header attacks Web安全系列(一)
skywf的博客
11-01 2985
本文主要基于post swigger的教程 本篇内容 在本节中,我们将讨论错误配置和有缺陷的业务逻辑如何通过HTTP Host标头使网站遭受各种攻击。我们将概述识别主机标头漏洞的高级方法,并演示如何利用它们。最后,我们将提供一些常规指导,指导您如何保护自己的网站免遭此类攻击。 什么是HTTP Host请求头 从HTTP / 1.1开始,HTTP Host标头是必需的请求标头。它指定客户端要访问的域名。例如,当用户访问时https://portswigger.net/web-security,他们的浏览器将
http request header 中的host行的作用
需要火的鱼
05-20 4740
http request header 中的host行的作用 转载:https://www.xuebuyuan.com/491841.html 小结于网络资源: 在早期的Http 1.0版中,Http 的request请求头中是不带host行的,在Http 1.0的加强版和Http 1.1中加入了host行, http request header 中的host行的作用: 如: GET / HTTP/1.1 Host: www.google.com.hk ... 一个IP地址可以对应多个域名:
http请求头中的host是什么意思
ThinPikachu的博客
10-14 5930
HostHTTP 1.1 协议中新增的一个请求头,主要用来实现虚拟主机技术。
解密http请求头的HostReferer,Origin背后的含义:
热门推荐
m0_52358470的博客
12-23 1万+
http请求头的HostReferer,Origin
HTTP 头部信息 header 解析
ppxin的专栏
07-05 2763
目录 1. 关于HTTP消息头 2. 常用的HTTP请求头 3. 常用的HTTP响应头 4、HTTP 请求消息头实例 HTTP消息头是指,在超文本传输协议( Hypertext Transfer Protocol ,HTTP)的请求和响应消息中,协议头部分的那些组件。HTTP消息头用来准确描述正在获取的资源、服务器或者客户端的行为,定义了HTTP事务中的具体操作参数。 1. 关于HTT...
HTTPheader头总结
OceanStar的博客
08-05 3500
端到端标头:逐跳报头客户端发送请求时,用来指定服务器的域名。有了字段,就可以将请求发往「同一台」服务器上的不同网站。作用:语法: 举例:作用:补充:举例:作用:语法: 补充: 举例:使用流程: 服务器在 Content-Encoding 响应首部提供了实际采用的压缩模式: 需要注意的是,服务器端并不强制要求一定使用何种压缩模式。采用哪种压缩方式高度依赖于服务器端的设置,及其所采用的模块。 Connection字段 作用:语法: close:表明客户端或服务器想要关闭该网络连接,这是HTTP/1.
HTTP Security Headers and How They Work
02-20
The most commonly used HTTP Security Headers and how they work. HTTP安全头工作机制
详解Nginx服务器中HTTP Headers相关的模块配置使用
09-30
主要介绍了详解Nginx服务器中HTTP Headers相关的模块配置使用,包括ngx_http_headers_module与它的增强版ngx_headers_more的配置使用讲解,需要的朋友可以参考下
理解Angular的providers给Http添加默认headers
08-30
本篇文章主要介绍了理解Angular的providers给Http添加默认headers,具有一定的参考价值,有兴趣的同学可以了解一下
基于VB实现的商场管理系统设计(源代码+系统).zip
05-04
【作品名称】:基于VB实现的商场管理系统设计(源代码+系统) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
数据更新至2020年主要发电企业火电机组分容量等级发电装机容量情况.xls
最新发布
05-05
数据来源:中国电力统计NJ-2021版
数据更新至2020年电网建设 本年开工规模.xls
05-05
数据来源:中国电力统计NJ-2021版
基于C# WinForm框架开发的图书管理系统源码+sql文件.zip
05-04
基于C# WinForm框架开发的图书管理系统源码+sql文件.zip基于C# WinForm框架开发的图书管理系统源码+sql文件.zip基于C# WinForm框架开发的图书管理系统源码+sql文件.zip基于C# WinForm框架开发的图书管理系统源码+sql文件.zip基于C# WinForm框架开发的图书管理系统源码+sql文件.zip
spring gateway 如何打印 HttpHeaders
03-30
要打印 Spring Gateway 的 HttpHeaders,可以在 Spring Boot 应用程序的配置文件中添加以下代码: ```yaml logging: level: org.springframework.cloud.gateway: DEBUG ``` 这将启用 Spring Gateway 的调试日志级别并打印 HttpHeaders。在应用程序运行时,您将看到类似以下的输出: ``` 2021-09-01 19:29:47.431 DEBUG 12345 --- [ctor-http-nio-2] o.s.c.g.h.filter.HttpHeadersFilter : HttpHeaders BEFORE http://localhost:8080/hello/: HttpHeaders [Accept:"application/json, text/plain, */*", User-Agent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36", Accept-Encoding:"gzip, deflate, br", Connection:"keep-alive", Host:"localhost:8080", Postman-Token:"2d2995df-eca5-4e0c-9f03-f308d1dcf09b", Cache-Control:"no-cache", Accept-Language:"en-US,en;q=0.9", Content-Type:"application/json;charset=UTF-8", Origin:"chrome-extension://fhbjgbiflinjbdggehcddcbncdddomop", Referer:"http://localhost:8080/" ] ``` 在这个例子中,我们可以看到 Spring Gateway 打印了从客户端发送到网关的 HttpHeaders。这样,您就可以轻松地调试和了解请求头信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值