html禁用referer

最新推荐文章于 2024-01-05 17:30:28 发布
最新推荐文章于 2024-01-05 17:30:28 发布
阅读量1.3w 收藏 5
点赞数 2
分类专栏: web前端 文章标签: refer 图片反盗链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43627766/article/details/90311889
版权

法1

head标签中添加meta属性,设置name=‘referer’ content=‘never’
referer 的 metedata 参数可以设置为以下几种类型的值:

never
always
origin
default

如果在文档中插入 meta 标签,并且 name 属性的值为 referer,浏览器客户端将按照如下步骤处理这个标签:

1.如果 meta 标签中没有 content 属性,则终止下面所有操作
2.将 content 的值复制给 referrer-policy ,并转换为小写
3.检查 content 的值是否为上面 list 中的一个,如果不是,则将值置为 default

上述步骤之后,浏览器后续发起 http 请求的时候,会按照 content 的值,做出如下反应(下面 referer-policy 的值即 meta 标签中 content 的值):

1.如果 referer-policy 的值为never:删除 http head 中的 referer;
2.如果 referer-policy 的值为default:如果当前页面使用的是 https 协议,而正要加载的资源使用的是普通的 http 协议,则将 http header 中的 referer 置为空;
3.如果 referer-policy 的值为 origin:只发送 origin 部分;
4.如果 referer-policy 的值为 always:不改变http header 中的 referer 的值,注意:这种情况下,如果当前页面使用了 https 协议,而要加载的资源使用的是 http 协议,加载资源的请求头中也会携带 referer。

例子
如果页面中包含了如下 meta 标签,所有从当前页面中发起的请求将不会携带 referer:

<meta name="referrer" content="never">

如果页面中包含了如下 meta 标签,则从当前页面中发起的 http请求将只携带 origin 部分(注:根据原文中的语境,我理解这里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分),而不是完整的 URL :

<meta name="referrer" content="origin">

注意:在使用本文中所述的 meta 标签的时候,浏览器原有的 referer 策略将被打破,比如从 http 协议的页面跳转到 https 的页面的时候,如果设置了适当的值,也会携带 referer。

tips:

  • 这个标准还是比较老的,而且在他的主页上也明确写了”This document is obsolete.”。不过据我调研,或许正是由于这个标准比较老,反而导致绝大多数浏览器对他的支持都很好,因祸得福蛤蛤。

  • 另外一个是来自MDN的标准。他给meta标签的referrer属性定义了五个值,如果要关闭referrer,就将它的值设置成no-referrer。
    不过我们需要注意的是,meta标签添加的位置也很重要,有的浏览器能够识别非head标签中的meta标签,有的就不行。在实际使用的时候还要小心

法2:添加ReferrerPolicy属性

添加meta标签相当于对文档中的所有链接都取消了referrer,而ReferrerPolicy则更精确的指定了某一个资源的referrer策略。关于这个策略的定义可以参照MDN。比如我想只对某一个图片取消referrer,如下编写即可:

<img src="xxxx.jpg"  referrerPolicy="no-referrer" />
浏览器支持对比

上面我们讲了两种取消referrer头信息的方法,但其实这却对应了五种写法,我们来看下面的对比表:


可以看出Chrome浏览器对各种写法都支持的最好,棒棒哒;Firefox支持所有标准的写法,但是不支持没有写在head标签中的meta标签;Edge/IE则不支持MDN里定义的”no-referrer”配置项,果然是个古董。。。

总的来说,保证最佳效果的最简单的写法就是添加一个meta标签,这样就不用考虑浏览器的差别了,虽然这种写法并不被官方推荐(主要还是要迁就IE这个古董,放弃了理论上更为正确的标准)。

法:3

通过rel=‘norefer’

<iframe src="auto-refresh.html" width="500" height="500" rel="noreferrer"></iframe>
法4:代理模式

把自己的服务器当做代理服务器, 图片请求先经过自己服务器, 修改referer头, 再中转到真正的服务器地址,进行流复制.
  在这里插入图片描述

注: 基于字节流进行传输, 代理服务器做了修改referer, 欺骗后一级服务器.
原本的链接:

<img src="http://www.b.com/xxx/yyy.jpg" />
皆改为如下的格式: http://www.a.com/zzz?source_url=${source_url}

<img src="http://www.a.com/zzz?source_url="http://www.b.com/xxx/yyy.jpg" />

这样他人服务器的防盗链限制就被绕过了, 同时本地服务器又不需要去存储这些资源文件.
这种代理模式, 对图片等小资源友好, 对特大资源(超过10M)并不推荐如此做.

晓锋不懂你
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
noreferrer去除网页跳转refer
12-13
noreferrer去除网页跳转refer,使得跳转页面refer为空
a标签referrerpolicy、rel属性
Lee_01的博客
05-20 1425
a标签referrerpolicy、rel属性 referrerpolicy HTTP 头信息的referer字段,表示当前请求是从哪里来的。 no-referrer:不发送referer字段。 origin:referer字段的值是<a>元素的origin属性,即协议 + 主机名 + 端口。 unsafe-url:referer字段的值是origin属性再加上路径,但不包含#片段。这种格式提供的信息最详细,可能存在信息泄漏的风险。 no-referrer <a id="no-
referer、prototype、array、json笔记整理
weixin_53284312的博客
01-10 558
referer、prototype、array、json笔记整理
前端渲染图片报403问题解决方案
从兄的博客
08-19 820
HTML头部标签加上如下代码即可 <meta name="referrer" content="no-referrer"/> 文档: referrer控制所有从该文档发出的 HTTP 请求中HTTPReferer首部的内容: no-referrer 不要发送 HTTPReferer首部。 origin 发送当前文档的origin。 no-referrer-when-downgrade 当目的地是先验安全的(https->https)则发送...
meta标签name=“referrer“属性的写法和用法
xunyun12的博客
02-22 3265
meta标签name="referrer"属性的写法和用法
百度统计代码安装出现「referrer禁用」或者「代码未生效」解决办法
月小水长
07-06 1154
今天安装官方指定的流程和位置安装百度统计代码时,出现了**「referrer禁用」**,于是上网一搜,几乎绝大部分搜索结果都是让我在 head 标签内加下面一行代码。,这一搜,由于引发这个未生效的原因有很多种,我渐行渐远了,后来直接把这行代码删了,就安装成功了,笑死。于是我索性把下面这行替换成上面那行,结果就出现了。
百度统计提示referrer出错解决办法
kevinguocn的博客
04-29 3308
解决 百度统计 referrer出错问题。 学习 HTTP协议 报头 referrer知识。
控制请求来源的HTML Meta标签 - Referrer详解
weixin_42560424的博客
06-27 5966
Referrer属性用于控制HTTP请求中的Referrer信息,即请求的来源URL。通过设置Referrer属性,我们可以决定是否发送Referrer头以及如何发送Referrer头信息。
网站百度统计referrer禁用解决方案
最新发布
我的博客
01-05 744
客户端请求首先通过 Nginx,Nginx 负责向代理和负载均衡,然后将请求传递给 Gunicorn,Gunicorn 处理 Django 应用的业务逻辑。检查你的网站 HTTPS 配置,确保证书有效且配置正确。偶然发现百度统计测试http首页时,显示代码安装成功,但是https就提示referrer禁用。生产环境使用了Nginx作为向代理服务器和静态文件服务器,Gunicorn作为WSGI服务器,提供并发处理和进程管理能力。但是,当我想看一下百度统计数据时,发现一片空白。
跳转html时请求头怎么取,http 请求头referer详解
weixin_39928940的博客
06-10 3520
Referer(引荐者)请求头referer 与 origin的区别?origin 是协议、域名;referer可以根据携带路径和参数referer 是什么?什么时候携带?什么时候不携带?referrer是HTTP请求header的报文头,用于指明当前流量的来源参考页面。通过这个信息,我们可以知道访客是怎么来到当前页面的。这对于Web Analytics非常重要,可以用于分析不同渠道流量分布、用户...
referer.txt
11-22
html跳转阻断referer,跳转后台的页面获取不到来源页面的referer,某些特定场景下很实用
javascript操作referer详细解析
10-26
本篇文章主要是对javascript操作referer进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
Java 通过设置Referer盗链
09-05
以前写过通过URLConnection下载图片等网络资源的代码,不过发现象新浪等网站,都不允许直接连接,所以增强了代码,通过模拟仿造referer来实现下载。
PHP伪造referer实例代码
10-30
伪造referer实例代码,主要用于一些突破防盗链
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
nginx服务器报错502 bad gateway!
热门推荐
weixin_43627766的博客
03-27 5万+
服务器进行公众号粉丝数据同步以及批量推送报错502 根据错误信息可以判定是后端的问题,502错误的原因有很多种,但总的来说就是服务器处理不过来了 1.首先查看服务器日志 1)先查nginx日志,不熟悉的可以从nginx.conf中获取error_log的路径,找到错误如下: 发现nginx进程处理的连接数不够用,单个进程处理的连接数超过了nginx.conf配置的worker_connectio...
meta使用referrer要注意的问题
weixin_43627766的博客
06-11 8260
referrer meta属性 <meta name="referrer" content="never"> 有时候为了禁止自己的网页发送refer信息,经常会用到这个属性,该属性禁止了header发送页面相关信息,虽然可以阻止一些攻击以及绕过图片盗链的效果 但是也会造成一定的问题,比如在后台中使用了该标签,会导致js和php的一些跳转出现问题,比如js的history.back(...
xdebug的使用
weixin_43627766的博客
04-19 4885
php xdebug调试工具 安装xdebug扩展库 windows: 网上下载phpxdubug扩展,把扩展文件放入php对应的ext目录中,并且在php.ini中的xdebug设置指定xdebug.dll路径 [XDebug] xdebug.auto_trace=on xdebug.auto_profile = on xdebug.profiler_enable_trigger = O...
referer探测攻击
06-11
Referer探测攻击是一种网络攻击手段,攻击者通过修改HTTP请求头中的Referer字段,尝试获取敏感信息或者窃取用户的身份认证信息。攻击者可以通过构造恶意URL,将目标网站作为Referer发送给第三方网站,从而获取目标网站的敏感信息。 为了防止Referer探测攻击,网站管理员可以采取以下措施: 1. 在网站中禁用Referer。可以通过修改HTTP响应头中的“Referrer-Policy”字段,来控制Referer在浏览器中的传递方式。 2. 对敏感信息进行加密处理。即使攻击者通过Referer探测攻击获取了一些敏感信息,也无法直接利用这些信息。 3. 对访问来源进行限制。可以通过IP地址、用户代理等信息,限制访问来源,从而防止Referer探测攻击的发生。 4. 定期更新网站的安全策略和防护措施。及时修补漏洞,更新安全配置,加强安全性能,可以有效提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值