html禁用referer

最新推荐文章于 2025-02-19 17:27:17 发布
最新推荐文章于 2025-02-19 17:27:17 发布
阅读量1.3w 收藏 6
点赞数 3
分类专栏: web前端 文章标签: refer 图片反盗链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43627766/article/details/90311889
版权
本文介绍了图片反盗链中取消Referrer头信息的方法。包括在head标签添加meta属性、添加ReferrerPolicy属性、使用rel='norefer'以及代理模式。还对比了不同浏览器对相关方法的支持情况,指出添加meta标签可保证最佳效果,代理模式对小资源友好。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

法1

head标签中添加meta属性,设置name=‘referer’ content=‘never’
referer 的 metedata 参数可以设置为以下几种类型的值:

never
always
origin
default

如果在文档中插入 meta 标签,并且 name 属性的值为 referer,浏览器客户端将按照如下步骤处理这个标签:

1.如果 meta 标签中没有 content 属性,则终止下面所有操作
2.将 content 的值复制给 referrer-policy ,并转换为小写
3.检查 content 的值是否为上面 list 中的一个,如果不是,则将值置为 default

上述步骤之后,浏览器后续发起 http 请求的时候,会按照 content 的值,做出如下反应(下面 referer-policy 的值即 meta 标签中 content 的值):

1.如果 referer-policy 的值为never:删除 http head 中的 referer;
2.如果 referer-policy 的值为default:如果当前页面使用的是 https 协议,而正要加载的资源使用的是普通的 http 协议,则将 http header 中的 referer 置为空;
3.如果 referer-policy 的值为 origin:只发送 origin 部分;
4.如果 referer-policy 的值为 always:不改变http header 中的 referer 的值,注意:这种情况下,如果当前页面使用了 https 协议,而要加载的资源使用的是 http 协议,加载资源的请求头中也会携带 referer。

例子
如果页面中包含了如下 meta 标签,所有从当前页面中发起的请求将不会携带 referer:

<meta name="referrer" content="never">

如果页面中包含了如下 meta 标签,则从当前页面中发起的 http请求将只携带 origin 部分(注:根据原文中的语境,我理解这里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分),而不是完整的 URL :

<meta name="referrer" content="origin">

注意:在使用本文中所述的 meta 标签的时候,浏览器原有的 referer 策略将被打破,比如从 http 协议的页面跳转到 https 的页面的时候,如果设置了适当的值,也会携带 referer。

tips:

  • 这个标准还是比较老的,而且在他的主页上也明确写了”This document is obsolete.”。不过据我调研,或许正是由于这个标准比较老,反而导致绝大多数浏览器对他的支持都很好,因祸得福蛤蛤。

  • 另外一个是来自MDN的标准。他给meta标签的referrer属性定义了五个值,如果要关闭referrer,就将它的值设置成no-referrer。
    不过我们需要注意的是,meta标签添加的位置也很重要,有的浏览器能够识别非head标签中的meta标签,有的就不行。在实际使用的时候还要小心

法2:添加ReferrerPolicy属性

添加meta标签相当于对文档中的所有链接都取消了referrer,而ReferrerPolicy则更精确的指定了某一个资源的referrer策略。关于这个策略的定义可以参照MDN。比如我想只对某一个图片取消referrer,如下编写即可:

<img src="xxxx.jpg"  referrerPolicy="no-referrer" />
浏览器支持对比

上面我们讲了两种取消referrer头信息的方法,但其实这却对应了五种写法,我们来看下面的对比表:


可以看出Chrome浏览器对各种写法都支持的最好,棒棒哒;Firefox支持所有标准的写法,但是不支持没有写在head标签中的meta标签;Edge/IE则不支持MDN里定义的”no-referrer”配置项,果然是个古董。。。

总的来说,保证最佳效果的最简单的写法就是添加一个meta标签,这样就不用考虑浏览器的差别了,虽然这种写法并不被官方推荐(主要还是要迁就IE这个古董,放弃了理论上更为正确的标准)。

法:3

通过rel=‘norefer’

<iframe src="auto-refresh.html" width="500" height="500" rel="noreferrer"></iframe>
法4:代理模式

把自己的服务器当做代理服务器, 图片请求先经过自己服务器, 修改referer头, 再中转到真正的服务器地址,进行流复制.
  在这里插入图片描述

注: 基于字节流进行传输, 代理服务器做了修改referer, 欺骗后一级服务器.
原本的链接:

<img src="http://www.b.com/xxx/yyy.jpg" />
皆改为如下的格式: http://www.a.com/zzz?source_url=${source_url}

<img src="http://www.a.com/zzz?source_url="http://www.b.com/xxx/yyy.jpg" />

这样他人服务器的防盗链限制就被绕过了, 同时本地服务器又不需要去存储这些资源文件.
这种代理模式, 对图片等小资源友好, 对特大资源(超过10M)并不推荐如此做.

如何去除img标签或者a标签中的referer?
猿小白的博客
12-07 2799
为了防止盗链,网站的某些页面阻止了来自于非本站的链接访问,所以对访问请求referer进行检测,一旦发现不是属于本网站信任的域名,就会直接被拦截处理。
nginx屏蔽特定http_referer的请求
Bertram的博客
12-22 4450
<div class="single-content"> <div class="tg-pc tg-site"><a href="https://www.xinshouzhanzhang.com/url/youhui/" target="_blank"><img src="https://www.xinshouzhanzhang.com/wp-content/themes/zh...
noreferrer去除网页跳转refer
12-13
noreferrer去除网页跳转refer,使得跳转页面refer为空
【技术支持】禁止htmlreferer
daban2008的专栏
04-12 660
ReferrerPolicy则更精确的指定了某一个资源的referrer策略,比如我想只对某一个图片取消referrer。
content=“no-referrer“解决Vue项目中图片前端跨域报错:403 Forbidden,strict-origin-when-cross-origin
...
02-19 588
Vue项目的中设置<meta>标签,更改Referrer Policy:可解决Vue项目中图片前端跨域报错:403 Forbidden,strict-origin-when-cross-origin的问题。原理:控制浏览器在发起 HTTP 请求时是否发送Referer头部信息,当设置为时,浏览器在请求资源时不会发送Referer头部,从而解决因Referer头缺失或不符合要求而导致的请求被拒绝的问题。
Flarum referrer 显示被禁用,如何正常使用统计代码
一只渣渣程序猿
03-02 867
修改 /vendor/flarum/core/views/frontend/app.blade.php 文件 <head> <meta charset="utf-8"> <title>{{ $title }}</title> <meta name="referrer" content="strict-origin-when-cross-origin"> {!! $head !!} .
百度统计显示referrer被禁用的解决方法
u013641294的博客
07-21 951
实测上面的代码放到放到 </body> 前也可以,不过建议统计代码也放在 </body> 前,并且上面代码的后面。在由于一个网站www.xjshzedu.com需要调用外部图片链接,所以在顶部加上了。,但是发现导致百度统计不正常,无法统计。
去掉referer信息
weixin_33774308的博客
11-29 815
<iframe src="auto-refresh.html" width=500 height=500 rel="noreferrer"></iframe> auto-refresh.html内容: <html> <head> <meta name="referrer" content="never"> <m...
IE下通过a实现location.href 获取referer的值
09-04
虽然这种方法在大部分情况下有效,但并不是所有情况下都能保证`Referer`头的发送,因为用户可以通过隐私模式、浏览器插件或特定设置禁用`Referer`的发送。此外,对于跨域请求,浏览器可能会限制`Referer`的发送,以...
【JavaWeb开发】Referer盗链的详解
此成非彼诚博客
04-10 5219
本文将由what、why、how来讲解Referer,并有具体实例,如有错误,欢迎指正
因浏览器未发送Referer HTTP头导致Django项目CSRF验证失败的原因
赖勇浩的编程私伙局
10-06 972
前段时间,做了一次服务器减负的同时,也把所有的遗留网站都加上了 HTTPS 支持,让客户免受推荐 HTTPS 证书的电话骚扰(他们的话术很吓人,客户听了以后会害怕地找我,这就很让我烦心了)。因为遗留的都是企业官网,很少人会登陆更新内容,所以很久以后,客户来联系我说后台登陆不上了。
IE下document.referrer 拒绝访问的解决方法
10-26
原理就是给IE浏览器的页面偷偷加了个链接,然后自动点这个链接,于是referrer就能保留了,感兴趣的朋友可以参考下
百度统计代码安装出现「referrer被禁用」或者「代码未生效」解决办法
月小水长
07-06 1807
今天安装官方指定的流程和位置安装百度统计代码时,出现了**「referrer被禁用」**,于是上网一搜,几乎绝大部分搜索结果都是让我在 head 标签内加下面一行代码。,这一搜,由于引发这个未生效的原因有很多种,我渐行渐远了,后来直接把这行代码删了,就安装成功了,笑死。于是我索性把下面这行替换成上面那行,结果就出现了。
百度统计referrer被禁用解决
zt-records的博客
04-14 4660
统计代码放在之前 再加 已解决
a img禁用referer
小龙在线
04-05 2010
用超链接的方式从一个网站跳转到另外一个网站,会报无权限等错误,而直接打开就不报错。 从一个网站引用另一个网站的图片,会显示防盗链图片。。。 很大的原因就是服务器检查了referer,判断是否来自自己的服务器,如果不是的话,就返回个错误。如果想跳过这些检查,就需要把浏览器默认加的referer去掉。这里有四种方法: 方法一:HTML全局禁用referer <meta name="referrer" content="never"> 其中content有四种类型的值: 类型 含义
HTTP_REFERER的用法及伪造及去掉REFERER方法
yongshenghuang的博客
06-03 5454
HTTP_REFERER的用途 HTTP_REFERER提供了引导用户代理到当前页的前一页的地址信息,常见的一些应用场景有防盗链,统计文章有多少次是来自谷歌搜索结果,多少次来自百度搜索结果等。 下面以防盗链为例,讲讲HTTP_REFERER的用法。 如果你经常写博客,就一定会遇到盗用你辛辛苦苦整理过的文章不跟你打任何招呼甚至连原文链接都一并抹除的网站,文字这个层面我们没法控制,但是图片这个层...
网站百度统计referrer被禁用解决方案
我的博客
01-05 1563
客户端请求首先通过 Nginx,Nginx 负责向代理和负载均衡,然后将请求传递给 Gunicorn,Gunicorn 处理 Django 应用的业务逻辑。检查你的网站 HTTPS 配置,确保证书有效且配置正确。偶然发现百度统计测试http首页时,显示代码安装成功,但是https就提示referrer被禁用。生产环境使用了Nginx作为向代理服务器和静态文件服务器,Gunicorn作为WSGI服务器,提供并发处理和进程管理能力。但是,当我想看一下百度统计数据时,发现一片空白。
html <meta name=“referrer“ content=“never“>作用
PrimaryColor
02-25 4957
删除http head中的referer; 相关学习文章: https://www.cnblogs.com/liuxiaopi/p/8084896.html https://www.freebuf.com/news/57497.html
nofollow、noopener和noreferrer标签的区别
风君子博客
06-05 8843
本文转自:https://www.fengjunzi.com/blog-17545.html 什么是noreferrer标签? 简而言之,noreferrer 标记在单击链接时隐藏引用者信息。如果有人从使用此标记的链接到达您的网站,您的分析将不会显示谁提到该链接。相,它会错误地显示为您的统计流量报告中的直接流量。 这个 noreferrer 标签在 WordPress 早些版本中是自动...
'Referer': 'http://www.haue.edu.cn/info/1034/1502.htm',
最新发布
03-15
### HTTP Referer 头的用途 HTTP `Referer` 是 HTTP 请求头部的一部分,在客户端发起请求时通常会被自动附加到请求中。它的主要功能是告知接收方当前请求是从哪个 URL 跳转而来的[^3]。通过这个信息,服务器可以实现多种功能: - **流量分析**:网站可以通过记录 `Referer` 的值来了解哪些外部站点链接到了自己的网页,从而评估推广效果或合作伙伴的价值。 - **安全控制**:某些应用利用 `Referer` 来验证请求来源的有效性,防止跨站请求伪造攻击(CSRF)。不过需要注意的是,这种方式并不完全可靠,因为恶意程序可能伪造该字段。 - **用户体验优化**:基于用户的跳转路径提供个性化的内容推荐或者广告展示。 尽管如此,出于隐私保护考虑,现代浏览器允许用户禁用发送 referer 数据的功能;另外,在 HTTPS 到 HTTP 场景下也可能不传递完整的 referrer 信息以减少敏感数据泄露风险[^4]。 ### 配置方式 对于开发者而言,如果希望自定义设置 HTTP 请求中的 `Referer` 值,则需视具体环境采取不同手段: #### 浏览器端手动修改 大多数情况下,普通 HTML 页面加载不会直接暴露更改 header 参数的能力给前端脚本使用。然而借助 JavaScript 和 Fetch API 或 XMLHttpRequest 对象则能够间接达成目的。下面是一个简单的例子演示如何通过 fetch 方法创建带有特定 referer 字段的新请求: ```javascript fetch('https://example.com/target', { method: 'GET', headers: new Headers({ 'Referer': 'https://custom-referer.example/' }) }).then(response => response.text()).then(data => console.log(data)); ``` 值得注意的是,并非所有的浏览器都支持上述操作,而且部分服务端可能会忽略此类人为设定的 referer 取代默认行为产生的真实值。 #### 后台编程语言层面调整 如果是从后台发出对外部资源获取的需求,则几乎每种主流开发框架均提供了相应机制去定制化 outbound requests 中包含的各项参数。例如 Python 下 Requests 库可轻松完成这项任务: ```python import requests headers = {'Referer': 'https://my.custom.referrer/'} response = requests.get('http://external.resource/', headers=headers) print(response.status_code, response.reason) ``` 同样地,在 Java 程序设计里也可以采用类似的思路构建 HttpClient 实例并指定额外属性: ```java HttpClient client = HttpClients.createDefault(); HttpGet request = new HttpGet("http://target.url/"); request.setHeader("Referer", "http://desired.referer/"); try (CloseableHttpResponse httpResponse = (CloseableHttpResponse)client.execute(request)) { System.out.println(httpResponse.getStatusLine()); } catch (IOException e) {} ``` 以上代码片段展示了三种不同的技术栈下如何显式声明 HTTP Request Header 当中的 Referer 属性的方法[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值