java referrer_referrer策略和meta标签的问题

最新推荐文章于 2024-04-24 00:26:15 发布
最新推荐文章于 2024-04-24 00:26:15 发布
阅读量488 收藏
点赞数
文章标签: java referrer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35649491/article/details/114204436
版权

请求后端接口时,banner图片的请求出现403错误:GET http://xxxxxxxxxxxx 403(Forbidden)。在网上搜寻一番,解决方法如下:在index.html中的head中添加。

在此之前,关于referrer,知之甚少。参考https://imququ.com/post/refer...,说是一种引用策略,可以用来防止图片或视频被盗。它的原理是:http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个 Referrer。图片服务器通过检测 Referrer 是否来自规定域名,来进行防盗链。如果没有设置referrer,那就可以直接绕过防盗链机制,直接使用或盗取。

referrer 的值有哪些?

1、no-referrer:所有请求不发送 referrer。

2、no-referrer-when-downgrade(默认值):当请求安全级别下降时不发送 referrer。目前,只有一种情况会发生安全级别下降,即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和链接跳转都不会发送 referrer。

3、same-origin:对于同源的链接和引用,会发送referrer,其他的不会。

4、origin:在任何情况下仅发送源信息作为引用地址。源信息包括访问协议和域名。

5、strict-origin:在安全级别下降时不发送 referrer;而在同等安全级别的情况下仅发送源信息。注意:这个是新加的标准,有些浏览器可能还不支持。

6、origin-when-cross-origin:同源的链接和引用,会发送完全的 referrer 信息;但非同源链接和引用时,只发送源信息。

7、strict-origin-when-cross-origin:同源的链接和引用,会发送 referrer。安全级别下降时不发送 referrer。其它情况下发送源信息。注意:这个是新加的标准,有些浏览器可能还不支持。

8、unsafe-url:无论是否发生协议降级,无论是本站链接还是站外链接,统统都发送 Referrer 信息。正如其名,这是最宽松而最不安全的策略。

语法

Referrer-Policy: no-referrer

Referrer Policy 的设置方法

1、CSP(Content Security Policy),是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。

Content-Security-Policy: referrer no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;

CSP 的指令和指令值之间以空格分割,多个指令之间用英文分号分割。

2、 标签

如果 content 属性不是合法的取值,浏览器会自动选择 no-referrer 这种最严格的策略。

3、通过a、area、link元素的 referrer属性

a href="http://www.baidu.com" referrer="no-referrer|origin|unsafe-url"

meta标签的延伸

meta标签用来描述一个HTML网页文档的属性,有关页面的元信息,主要有两个属性:name 和 http-equiv

1、

name属性主要用于描述网页,比如网页的关键词,叙述等。属性值为content,content中的内容是对name填入类型的具体描述,便于搜索引擎抓取。

2、name的参数

①、keywords:网页关键字

②、description:网站内容的描述,网站主要内容

③、viewport:移动端视口,仅供移动设备使用

④、robots:搜索引擎爬虫的索引方式,content不填默认为all

none : 搜索引擎将忽略此网页,等价于noindex,nofollow

noindex : 搜索引擎不索引此网页

nofollow: 搜索引擎不继续通过此网页的链接索引搜索其它的网页

all : 搜索引擎将索引此网页与继续通过此网页的链接索引,等价于index,follow

index : 搜索引擎索引此网页

follow : 搜索引擎继续通过此网页的链接索引搜索其它的网页

⑤、author:作者

⑥、copyright:标注版权信息

//代表该网站为yixinli版权所有

⑦、revisit-after:搜索引擎爬虫重访时间

3、

http-equiv相当于http文件头的作用

4、http-equiv的参数:

①、content-Type:声明字符编码

// H5新增,推荐使用

//旧的HTML

②、cache-control:指定请求和响应遵循的缓存机制

content的值有:

no-cache: 先发送请求,与服务器确认该资源是否被更改,如果未被更改,则使用缓存

no-store: 不允许缓存,每次都要去服务器上,下载完整的响应

public : 缓存所有响应,但并非必须。因为max-age也可以做到相同效果

private : 只为单个用户缓存,因此不允许任何中继进行缓存

maxage : 表示当前请求开始,该响应在多久内能被缓存和重用,而不去服务器重新请求。例如:max-age=60表示响应可以再缓存和重用 60 秒。

no-siteapp:禁止百度自动转码

③、expires:网页到期时间,到期后网页必须到服务器上重新传输。

④、refresh:自动刷新并指向某页面

//意思是2秒后跳转新浪

⑤、X-UA-Compatible:浏览器采取何种版本渲染当前页面

//指定IE和Chrome使用最新版本渲染当前页面

⑥、Set-Cookie:为页面定义cookie

如果网页过期,那么这个网页存在本地的cookies也会被自动删除。

//格式

Bachnroth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java 通过设置Referer反盗链
09-05
以前写过通过URLConnection下载图片等网络资源的代码,不过发现象新浪等网站,都不允许直接连接,所以增强了代码,通过模拟仿造referer来实现下载。
Referrer Policy 介绍
weixin_33810006的博客
08-16 157
发布于 署名 4.0 国际 (CC BY 4.0)原文链接:https://caixw.io/posts/2017/referrer-policy.html 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全...
开发日志(20240422):一次以为是跨域但并不是跨域的问题排查记录
最新发布
零一魔法
04-24 1003
因为对于跨域相关知识点存在一定的误解,再结合过往跨域问题排查的经验,导致了前期排查的方向错误。需要时刻注意各端控制台日志的输出,尽量放置在同一界面中。此外在排错的时候,先把历史输出清空,这样可以更快的发现异常。遇到问题之后,尽量尽快的熟悉一下相关的知识点,如果这次更早的意识到「预检请求」无法通过跨域,就可以更加及时的发现问题。前后端联调的经验仍不足,接口参数被data包裹,我以为这是Angular的特性,并且最初也不知道去除data包裹的方法,所以即使发现了传参问题,也没有在一开始引起足够的重视。
java referrer_JavaScript中document.referrer的用法详解
weixin_42596011的博客
02-16 244
前言在JavaScript中,document对象有很多属性,其中有3个与对网页的请求有关的属性,它们分别是URL、domain和referrer。URL属性包含页面完整的URL,domain属性中只包含页面的域名,而referrer属性中则保存着链接到当前页面的那个页面的URL。前面两个很好理解,而referrer属性简单来说就是上一个页面的URL。那么这个属性具体有什么用处呢?在H5页面中,我...
JavaWeb开发】Referer防盗链的详解
01-20
1. 什么是Referer? Referer 是 HTTP 请求(requset) header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里就有包含 Referer 。 比如我在www.csdn.net里点击一篇博客,那么点击这个博客,它的header信息里就有: Referer=https://www.csdn.net/ 如下图:request header有这么一行(从浏览器的开发者工具->NetWork->Header中看) 我是广告1 武汉加油!中国加油! 我是广告2 3.给山寨网站取一个域名www.361.com,到tomcat目
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4354
ReferrerReferrer-Policy简介
<meta name="referrer" content="always">的作用
01-09
<meta name="referrer" content="always">的作用
IE中JS跳转丢失referrer问题的2个解决方法
10-25
主要介绍了IE中JS跳转丢失referrer问题的2个解决方法,算是IE的一个BUG吧,本文提供了2个方法解决这个问题,需要的朋友可以参考下
JavaScript中的document.referrer在各种浏览器测试结果
10-25
- 当使用HTML的`meta`标签进行页面刷新时,IE和Firefox可能会丢失`document.referrer`。 以下是一些测试结果的总结: 1. 直接在地址栏输入URL,或者从书签访问URL,`document.referrer`通常都可以正常获取。 2. ...
javascript document.referrer 用法
12-09
总的来说,`document.referrer` 是一个强大的工具,但它依赖于浏览器的行为,因此在设计功能时需要考虑到其可能存在的限制和隐私问题。在处理用户数据时,始终要尊重并遵守隐私政策和相关法规。
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :)区别此插件已...
Referer和Referrer Policy以及图片防盗链
小王的技术库
06-11 1万+
Referrer-policy作用就是为了控制请求头中referer的内容包含以下:浏览器兼容性(caniuse.com/?search=ref…%25EF%25BC%259A “https://caniuse.com/?search=referer-policy)%EF%BC%9A”) 如下图: 如: 未加referrerpolicy属性的link元素:比如在自己页面里引入百度贴吧里的一张照片: 但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理 通过Referer或者签
referer检测&url跳转
balance的博客
05-07 5951
一、检测referer的场景 》缓解CSRF攻击 若referer为空,或referer不属于自身域及子域,则拒绝后续操作​(更改密码、更改昵称) 》加固以jsonp方式获取信息 譬如​,链接https://passport.jd.com/loginservice.aspx?callback=jQuery8483115&method=UserInfo&_=152291428...
【Web】限制User-Agent/ 限制referer
weixin_44715742的博客
08-10 1243
前言 请求头headers是我们请求网页时携带的信息,有一些网站会根据headers来判断请求是不是爬虫,我们需要通过伪造headers来绕过这种反爬机制Headers之User-Agent包括的内容如下: user-agent基本介绍 随机UA 设置UA的库fake-user agent 定义 User-Agent 指谁来替代我们访问网站的。如果它对应的是requests库,那么对方网站就可以直接看出你是请求而拒绝这次请求。 随机UA 如果要频繁抓取一个网页,每次都设置一样的UA,这也会被网站怀疑,因
HTTP请求中的Referer和Referrer Policy
zxl1990_ok的博客
10-12 4182
Referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer(注:正确英语拼写应该是referrer,由于早期HTTP规范的拼写错误,为了保持向后兼容就一直延续下来)请求头识别访问来源,可能会以此统计分析、日志记录以及缓存优化等。 注: Referer请求头可能会暴露用户的浏览历史、涉及到用户的隐私问题Referrer-policy Referrer-policy作用就是为了控制请求头中referer的内.
get请求图片出现403 防盗链解决方式 no-referrer
laoli360的博客
10-19 1万+
http请求头中有一个referrer字段,用来表示发起http请求的源地址信息 服务器端在拿到这个referrer后判断请求是否来自本站 若不是则返回403,从而实现图片的防盗链。上面出现403就是因为,请求的是别人服务器上的资源,但把自己的referrer信息带过去了,被对方服务器拦截返回了403 <!-- 解决图片403防盗链问题 --> <meta name="referrer" content="no-referrer" /> 在前端...
CSRF简单理解---HTTP Referer字段验证(Java实现)
热门推荐
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
referrer参数丢失问题
pillar04的专栏
11-02 3209
referrer参数丢失问题,无法获取完整referer
com.google.android.finsky.permission.bind_get_install_referrer_service
01-26
通过这个权限,应用程序可以与Play商店交互,并获取有关应用安装来源...总的来说,com.google.android.finsky.permission.bind_get_install_referrer_service是一个在应用开发和营销中非常有用但也需要谨慎使用的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值