HTTP 首部字段之referer和Referrer Policy

最新推荐文章于 2024-05-05 15:15:00 发布
最新推荐文章于 2024-05-05 15:15:00 发布
阅读量3.7k 收藏 6
点赞数
分类专栏: http 文章标签: http referer referrer policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42717027/article/details/84314196
版权

referer

1.定义
浏览器在向 web 服务器发送一个 http 请求的时候,服务器会把 http 的请求包装成一个 request 对象,在这些请求里面就包括 referer,它的意思是要告诉服务器,该请求来自哪里。
举个栗子:
www.google.com 页面中重定向至 www.baidu.com,点击转到百度,浏览器就会发一次请求,hearder信息有 referer=http://www.google.com

这里有一个小问题要说明下。
Referer 的正确英语拼法是referrer 。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以目前拼法不统一。还有它第一个字母是大写。

2.referer的作用

1.防盗链:

比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是 www.google.com ,那么图片服务器每次取到Referer来判断一下是不是我自己的域名 www.google.com,如果是就继续访问,不是就拦截。

2.防止恶意请求:

在接口中判断访问来源,例如php使用HTTP_REFERER来判断来源,如果是直接访问接口的请求不予处理,如果是从网页调用的请求再做处理。

然而在这里又有一个问题,referer是否为空和referer的值的不同。–>控制referer有两个方面的条件:
其一:请求方式和重定向的方法

能获取到referer的情况:

  1. 使用A标签来访问页面
  2. submit input提交的表单post和get
  3. 使用js提交的post和get表单

不能获取的referer的情况:

  1. 使用js重定向 location.href 和 location.replace()
  2. 服务器端的redirect,PHP中的header(“location:”)
  3. 使用http重定向(我开始做的就是http重定向的项目,所以得不到referer参数)
  4. 直接在浏览器的地址栏中输入一个资源的URL地址

其二:Referrer Policy指令的控制

下面介绍一下

Referrer Policy

1.定义:
字段设置于general(通用头部)中,用来控制request headers(请求头部)中的referer(referer表示一个来源,例如:referer: https://www.cnblogs.com/),
比如是否发送 referer、只发送 hostname 还是发送完整的 referer 等。

在这里插入图片描述

2.作用:
Referrer Policy来控制referer的显示,以此维护用户的隐私和安全。
3.怎么维护:
这就涉及到了referer的原理referer表示一个来源,也就是一个域名,它是浏览器自动添加给header中的,并且通过浏览器自动传递到 下去,不管是几重定向,找到都是最终的源地址,但是这个地址上可能会保留用户的个人信息,泄露用户页面的URL,由此我们需要控制referer的展示。

Referrer Policy的指令
指令说明
no-referrer任何情况下都不发送referer,访问来源信息不随着请求一起发送
no-referrer-when-downgrade在同等安全等级下(例如https页面请求https地址),发送referer,但当请求方低于发送方(例如https页面请求http地址),不发送referer
origin在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。
origin-when-cross-origin对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
same-origin对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。
strict-origin在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
strict-origin-when-cross-origin对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
unfafe-url无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。这项设置会将受 TLS 安全协议保护的资源的源和路径信息泄露给非安全的源服务器。不推荐使用
Enno.Z
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 3298
HTTPReferrerReferrer-policy
http请求的referer属性
热门推荐
摩羯座
12-21 3万+
  HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。下列情况是从浏览器的地址栏正常取得Request.ServerVariables(
Fetch的概述和基本使用
最新发布
liufang_imei的博客
05-05 1237
浏览器提供了原生的AJAX实现类XMLHttpRequest,基于该类实例,我们可以实现在网页上发送AJAX请求到服务端。但是XMLHttpRequest的设计并不完美,主要体现在以下几个方面:HTTP请求,响应都被耦合在XMLHttpRequest实例上,结构不够简单明了采用事件回调的方式获取HTTP响应,可能会产生回调地狱如果HTTP响应数据过大,则会占用大量内存最后一点就是,XMLHttpRequest实现AJAX的步骤太零碎了。
C#模拟POST提交表单(二)--HttpWebRequest以及HttpWebResponse
u014712365的博客
09-15 203
上次介绍了用WebClient的方式提交POST请求,这次,我继续来介绍用其它一种方式 HttpWebRequest以及HttpWebResponse 自认为与上次介绍的WebClient最大的不同之处在于HttpWebRequest更灵活,也更强大,比如,HttpWebRequest支持Cookie,而WebClient就不支持,因此,如果要登录某个网站才能进行某些操作的时候,HttpWebR...
Requests 方法 -- post请求操作实践
weixin_30515513的博客
07-06 220
1、登录Jenkins抓包 ,小编的Jenkins部署在Tomcat上,把Jenkins.war 包放置到webapps目录。 本次用浏览器自带抓包,按下F12操作,主要看post就可以,登录是向服务器提交表单操作,则为post请求如下: 2、body里面并不是json格式的,而是application/x-www-form-urlencoded,部分请求截图如下: 3、...
post跨域请求,并设置请求头
luckydie的博客
03-21 971
post跨域请求
https网站发送 referrer https 与 http 跳转 referer 的问题
09-22
最近网站改版很多时候发现广告客户提示找不到来自我们网站的数据,原来是因为我们最近升级了https导致,经过搜索找到如下解决方法,需要的朋友可以参考下
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
总结来说,"Referrer-Policy : strict-origin-when-cross-origin"是提高Web应用安全性的策略之一,尤其在处理跨域请求时能有效保护用户隐私。在前后端联调中,我们主要关注CORS策略解决跨域问题,而Referrer Policy...
VBS伪造HTTP-REFERER的实现方法
09-05
标题中的“VBS伪造HTTP-REFERER的实现方法”指的是使用Visual Basic Script (VBS) 来模拟HTTP请求,并在请求头中设置自定义的HTTP_REFERER字段HTTP_REFERERHTTP协议中的一个字段,用于记录用户从哪个页面链接...
asp Http_Referer,Server_Name和Http_Host
10-30
以前感觉Request.ServerVariables里的值很多,现在看看还是那么多,不过今天谈其中的一个值----HTTP_Referer以及Request.ServerVariables里Server_Name与Http_Host之间有什么区别呢?
HTTP请求中的RefererReferrer Policy
zxl1990_ok的博客
10-12 4193
Referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer(注:正确英语拼写应该是referrer,由于早期HTTP规范的拼写错误,为了保持向后兼容就一直延续下来)请求头识别访问来源,可能会以此统计分析、日志记录以及缓存优化等。 注: Referer请求头可能会暴露用户的浏览历史、涉及到用户的隐私问题。 Referrer-policy Referrer-policy作用就是为了控制请求头中referer的内.
Referrer-Policy常见属性
qq_42808052的博客
09-30 9703
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
篡改referer,踩了Chrome85修改referer策略的坑
weixin_31708209的博客
03-27 1636
一个内部使用的网盘系统,同事反馈登录进系统后页面一直在反复刷新,url上的登录token也在疯狂变化。很明显是因为后台没有成功判断到用户已经登录,导致页面一直跳转到登录授权服务器获取token。这个问题在我到浏览器上也复现了,而我用safari,火狐则没有这个问题。只有Chrome会出现反复刷新。将问题反馈给负责系统后台的同事,神奇的是,他的Chrome并不会反复刷新。登录同事说登录的token是...
HTTP请求中的referrerReferrer-Policy
thlzjfefe的博客
10-12 3万+
本文将介绍一个涉及安全和隐私的http请求头中的字段referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。 什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从...
HTTP系列之RefererReferrer policy简介
Nicky's blog
11-02 6134
https://github.com/w3c/webappsec https://www.w3.org/TR/referrer-policy/
URL重定向,refererreferrer和安全
奥特打小怪的博客
08-04 2万+
URL重定向,refererreferrer和安全,
初识httpreferer字段
Ackerly的博客
11-25 8527
首先了解httpreferer字段的作用 referer字段表示从哪里链接到当前网页,常用于对付伪造的跨网站请求,通过referer字段来实现防盗链。 ps:关于盗链 盗链指的是在自己的界面展示不在自己服务器上的内容,通过技术手段获得他人服务器的资源地址,绕过别人资源展示页面,在自己页面向用户提供此内容,从而减轻自己服务器的负担,因为真实的空间和流量来自别人服务器。对于使用apahce的服
http协议首部字段有哪些
03-24
HTTP协议首部字段包括通用首部字段、请求首部字段、响应首部字段和实体首部字段。通用首部字段包括Cache-Control、Connection、Date、Pragma、Trailer、Transfer-Encoding、Upgrade、Via、Warning。请求首部字段包括Accept、Accept-Charset、Accept-Encoding、Accept-Language、Authorization、Expect、From、Host、If-Match、If-Modified-Since、If-None-Match、If-Range、If-Unmodified-Since、Max-Forwards、Proxy-Authorization、Range、Referer、TE、User-Agent。响应首部字段包括Accept-Ranges、Age、ETag、Location、Proxy-Authenticate、Retry-After、Server、Vary、WWW-Authenticate。实体首部字段包括Allow、Content-Encoding、Content-Language、Content-Length、Content-Location、Content-MD5、Content-Range、Content-Type、Expires、Last-Modified。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值