referrer策略
请求后端接口时,banner图片的请求出现403错误:GET http://xxxxxxxxxxxx 403(Forbidden)。在网上搜寻一番,解决方法如下:在index.html中的head中添加
<meta name="referrer" content="no-referrer" />
在此之前,关于referrer,知之甚少。参考https://imququ.com/post/refer…,说是一种引用策略,可以用来防止图片或视频被盗。它的原理是:http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个 Referrer。图片服务器通过检测 Referrer 是否来自规定域名,来进行防盗链。如果没有设置referrer,那就可以直接绕过防盗链机制,直接使用或盗取。
referrer 的值 | 描述 |
---|---|
no-referrer | 所有请求不发送 referrer |
no-referrer-when-downgrade(默认值) | 当请求安全级别下降时不发送 referrer。目前,只有一种情况会发生安全级别下降,即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和链接跳转都不会发送 referrer |
same-origin | 对于同源的链接和引用,会发送referrer,其他的不会 |
origin | 在任何情况下仅发送源信息作为引用地址。源信息包括访问协议和域名 |
strict-origin | 在安全级别下降时不发送 referrer;而在同等安全级别的情况下仅发送源信息。注意:这个是新加的标准,有些浏览器可能还不支持 |
origin-when-cross-origin | 同源的链接和引用,会发送完全的 referrer 信息;但非同源链接和引用时,只发送源信息 |
strict-origin-when-cross-origin | 同源的链接和引用,会发送 referrer。安全级别下降时不发送 referrer。其它情况下发送源信息。注意:这个是新加的标准,有些浏览器可能还不支持 |
unsafe-url | 无论是否发生协议降级,无论是本站链接还是站外链接,统统都发送 Referrer 信息。正如其名,这是最宽松而最不安全的策略 |
语法
Referrer-Policy: no-referrer
Referrer Policy 的设置方法
- CSP(Content Security Policy),是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。
CSP 的指令和指令值之间以空格分割,多个指令之间用英文分号分割。 - meta标签
<meta name="referrer" content="">
<!-- 如果 content 属性不是合法的取值
浏览器会自动选择 no-referrer 这种最严格的策略
-->
- 通过a、area、link元素的 referrer属性