引用站点策略(Referrer Policy)

已于 2024-08-13 09:04:31 修改
阅读量1k 收藏 16
点赞数 13
文章标签: 服务器
于 2024-08-13 09:02:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63490470/article/details/141154284
版权

引用站点策略(Referrer Policy)是HTTP响应头中的一个安全相关字段,用于控制在用户从一个页面导航到另一个页面时,是否以及如何发送 referrer 信息。Referrer 是指当前页面的上一个页面的 URL,通过这个字段可以追踪用户的来源。

默认情况下,浏览器会将完整的 referrer URL 发送给目标页面,这可能包含敏感信息如登录凭证或个人数据。为了保护用户隐私和安全,网站管理员可以通过设置 Referrer-Policy 来控制 referrer 的内容和发送方式。

Referrer-Policy 可以有多种不同的值,每种值对应不同的策略:

  1. no-referrer:不发送任何 referrer 信息,这是最宽松且最不安全的策略。
  2. no-referrer-when-downgrade:当协议安全性降低(例如从 HTTPS 转到 HTTP)时不发送 referrer 信息。
  3. origin:只发送当前页面的 origin 部分(协议、主机和端口),而不包括路径和查询字符串。
  4. origin-when-cross-origin:跨域请求时只发送当前页面的 origin 部分,同源请求则发送完整的 referrer URL。
  5. same-origin:仅在同源请求时发送完整的 referrer URL。
  6. strict-origin:与 origin 相似,但不允许发送虚假的 referrer 信息。
  7. strict-origin-when-cross-origin:跨域请求时只发送当前页面的 origin 部分,且不允许发送虚假的 referrer 信息。
  8. unsafe-url:允许发送完整的 referrer URL,但可能会暴露敏感信息。

Referrer-Policy 的设置可以通过以下几种方式实现:

  • 在 HTTP 响应头中直接设置 Referrer-Policy 字段。
  • 使用 meta 标签指定 name 值为 referrer 的属性。
  • 在 a、area、img、iframe 或 link 元素上使用 referrerpolicy 属性。
  • 使用 Link 关系中的 noreferrer 属性。

通过合理配置 Referrer-Policy,网站所有者可以在保护用户隐私和提高安全性之间找到平衡点,防止恶意活动,并遵守相关法规要求。

Referrer-Policy 的最新标准和最佳实践是什么?

Referrer-Policy(引用来源策略)的最新标准和最佳实践主要集中在如何控制浏览器在请求中包含引用来源信息的方式,以增强网站的安全性和隐私保护。根据,新版的Referrer Policy规定了五种策略:No Referrer、No Referrer with Origin、Same Origin、No Referrer When Downgrading、 always。这些策略旨在限制或完全不发送引用来源信息,以防止敏感数据泄露。

最佳实践方面,指出,对于自身服务器,通过客户端发来的请求中带有的referer信息可以用来防止CORS(跨站请求伪造)。然而,为了更好地防御CSRF攻击,最佳实践应该是结合多种防御措施,包括但不限于设置合适的Referrer-Policy策略。

具体到Referrer-Policy的使用,提供了联合国网络安全标准化机构(UN-ETSI)的建议,即可以通过修改链接的referrerpolicy属性来限制引用来源信息的传播,例如设置为"origin"以仅传递当前页面的域名部分,或者使用noreferrer属性来阻止浏览器自动设置Referer头。

如何在不同类型的网站(如电商、论坛、博客)中实施 Referrer-Policy 以保护用户隐私?

在不同类型的网站中实施Referrer-Policy以保护用户隐私,需要根据网站的具体需求和场景选择合适的策略。以下是一些基于搜索结果的建议:

  1. 电商网站:对于电商网站,保护用户隐私尤为重要,因为可能涉及支付信息和购物历史。可以使用strict-origin-when-cross-origin策略,这在跨域请求时只发送来源的域名(不包括路径),从而减少敏感信息的泄露。

  2. 论坛:论坛通常包含大量用户生成内容,保护用户隐私同样重要。可以采用no-referrerno-referrer-when-downgrade策略,这些策略在大多数情况下不会发送Referrer头,但在降级(从HTTPS到HTTP)时会发送完整的URL,这有助于防止跟踪但同时保留了一定程度的统计功能。

  3. 博客:博客网站可能需要一定的统计功能来分析访问量和用户行为。可以使用same-origin策略,这仅在同源请求时发送Referrer头,适用于大多数博客场景,既能满足统计需求又不过度暴露用户隐私。

  4. 通用策略:无论哪种类型的网站,都可以考虑使用严格模式(如strict originstrict-origin-when-cross-origin),这些策略在跨域请求时只发送来源的域名,有效防止了跨站跟踪。

  5. 配置方法:可以通过设置HTTP响应头中的Referrer-Policy,或者在HTML文档中通过<meta name="referrer" content="...">标签来指定Referrer策略。

Referrer-Policy 对SEO(搜索引擎优化)有何影响?

Referrer-Policy(引荐来源政策)对SEO(搜索引擎优化)有显著影响,主要体现在以下几个方面:

  1. 增强网页结构和可读性:通过在标签中使用Referrer-Policy属性,可以提供一种语义化的方式来描述链接的目的,这不仅增强了网页的结构和可读性,同时也对搜索引擎优化(SEO)有着积极的影响。

  2. 控制Referrer信息传递:Referrer-Policy允许网站管理员定义出站链接中的referrer头信息的值。这意味着可以控制在用户点击链接时发送给目标网站的referrer信息,从而影响目标网站的分析工具和SEO策略。

  3. 加密流量与referrer数据共享:通过meta referrer tag,可以更好地控制如何传递referrer信息,即使是在使用HTTPS的情况下,也可以将referrer数据传递给所有网站,包括那些使用HTTP的网站。这有助于保持流量的加密同时保留HTTPS的所有好处,对于SEO来说是一个重要的考虑因素。

  4. 影响网站访问量和回访率:参考源站点策略可以帮助提高网站的访问量。搜索引擎可能会忽略那些与网站目标不符或目的不明确的网站,而从参考源站点访问的客户通常具有较高的回访率。

Referrer-Policy通过控制referrer信息的传递,影响网站分析工具的使用,以及通过参考源站点策略提高网站访问量和回访率,从而间接地对SEO产生积极影响。

在实际应用中,Referrer-Policy 导致的安全漏洞有哪些例子?

在实际应用中,Referrer-Policy 导致的安全漏洞主要体现在以下几个方面:

  1. CSRF(跨站请求伪造)攻击

    • 通过修改或隐藏请求的Referer字段,攻击者可以绕过安全验证。例如,在2007年Gmail的CSRF漏洞中,攻击者能够隐藏甚至修改自己请求的Referer。
    • 另一个案例是单点登录网站通过Referer盗取用户授权,这表明攻击者可以通过操控Referer字段来窃取用户的会话信息和cookie,从而模仿合法用户执行操作。

  2. 不安全的访问控制

    • 应用程序使用HTTP Referer头作为访问控制决策的基础。例如,一个应用程序可能严格控制对主要管理菜单的访问权限,但当用户请求某个特定的管理功能时,它可能会检查该请求是否来自管理菜单页面,并假设用户已经访问过该页面并因此拥有所需的权限。这种模型存在根本性缺陷,因为Referer头完全由用户控制,可以设置为任何值。

  3. 恶意内容或跨站脚本攻击

    • 设置不当的Referrer-Policy可能导致浏览器提供的安全特性失效,从而允许恶意内容或跨站脚本攻击。

  4. 隐私泄露

    • 如果没有正确设置Referrer-Policy,浏览器可能会发送过多的用户信息给服务器,导致隐私泄露。

Referrer-Policy 在实际应用中的不当配置可能导致多种安全漏洞,包括CSRF攻击、不安全的访问控制、恶意内容或跨站脚本攻击以及隐私泄露等问题。

如何测试和验证 Referrer-Policy 的有效性?

要测试和验证 Referrer-Policy 的有效性,可以采取以下步骤:

  1. 使用HTML解析器检查:根据,可以通过HTML解析器来检查是否设置了 Referrer-Policy。这通常通过在网页的元标签中查找<meta referrer>来实现。如果存在这样的标签,并且其内容与预期的 Referrer-Policy 值匹配,则可以认为 Referrer-Policy 已被正确设置。

  2. 检查HTTP响应头中的Referrer-Policy:提到,服务器对HTTP请求的响应头中应包含Referrer-Policy。如果在响应头中找到并确认了正确的Referrer-Policy值,则可以验证其有效性。

  3. 浏览器API的请求对象属性:根据,可以使用Web APIs中的Request接口的referrerPolicy只读属性来获取请求的Referrer-Policy。这允许开发者在客户端代码中检查和验证Referrer-Policy是否按预期工作。

  4. 实际操作测试:创建一个测试页面,尝试从不同的源加载资源,并观察浏览器如何处理Referrer头部。例如,从同一域名加载页面时,应看到Referrer头部包含当前页面的URL;而从不同域名加载时,Referrer头部可能为空或不包含任何信息,这取决于所使用的Referrer-Policy策略。

  5. 跨站请求伪造(CSRF)攻击测试:根据,可以通过模拟跨站请求来测试Referrer-Policy的有效性。如果Referrer-Policy能够阻止或限制这些请求,那么它就有效地防止了潜在的安全威胁。

Brendan_001
关注
深入解析HTTP(web开发详细理解原理)【JavaWeb】
一键难忘的博客
08-03 380
多个请求和响应可以重叠,并且可以同时执行多个请求与响应。更多的请求头和响应头(例如,HTTP 1.0没有主机字段)。服务器不会跟踪每个客户,也不会记录过去的请求。超文本传输协议HTTP:是一种简单的请求-响应协议,通常在TCP上运行。Post:请求可以携带的参数是无限的,并且大小是无限的。数据内容不会显示在浏览器的URL地址栏中,这是安全的,但效率低下。Get:请求可以在有限的大小下携带更少的参数。Cache-Control:缓存控制,和上面一样。Accept-Encoding:支持的编码格式。......
HTTP之ReferrerReferrer-policy
qq_57289939的博客
02-02 3935
HTTP之ReferrerReferrer-policy
Referrer Policy 介绍
chengyujiaoz7891的博客
08-16 331
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在...
Web 页面 Meta 的 Referrer Policy
lancelot_lewis的专栏
07-20 2017
一个图片,本站或者外站,都要想办法拿到 前言介绍 近期在一个项目中,需要引用大量外部网站的图片,竟意外的发现在生成环境中没有问题,但在本地的开发环境下,有部分图片无法显示。于是就开启了跨域图片显示的斗争中。 名词解释 什么是引用策略Referrer Policy)?引用策略就是从一个文档发出请求时,是否在请求头部定义 Referrer 的设置。 目前很多网站的防盗链...
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 813
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
google Chrome 浏览器升级更新了来源策略,导致不同域名来源页面信息【Referer】只有域名信息
JineD的博客
11-13 6188
因google Chrome 浏览器升级更新了来源策略,导致不同域名来源页面信息【Referer】只有域名信息,需要设置来源策略Referrer-Policy】解决 ,目前影响GA跟踪的页面来源分析、影响产品内购率指标。 1、来源标头参数介绍 HTTP Referer 是什么? 当使用者访问网站时,会发送请求 (request) 给服务器主机,而请求 header 中会有一个标头是「referer」,而此参数会存放当前请求来源的位置,也就是说请求的来源页面。 HTTP Referrer-Pol.
x Strict-Transport-Security x Content-Security-Policy ]x X-Content-Type-Options X-Frame-Options x Referrer-Policy x Permissions-Policy
07-27
5. Referrer-Policy引用来源策略):该标头控制浏览器在发送引用来源信息时的行为。可以配置为完全禁止发送引用来源、仅在同源请求中发送等。 6. Permissions-Policy(权限策略):该标头用于控制网站的权限,...
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 4245
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1267
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
Referrer-Policy常见属性
qq_42808052的博客
09-30 9753
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4812
ReferrerReferrer-Policy简介
引用站点策略(Referral Policy
最新发布
weixin_63490470的博客
08-12 350
引用站点策略(Referral Policy)是指网站如何处理从其他网站链接到当前网站的HTTP引用头(Referer header)的策略引用头包含了用户点击链接前一页面的URL,这可以帮助网站所有者了解用户是如何到达他们的网站的。但是,出于隐私保护和安全性的考虑,有时需要控制引用头的发送方式。
HTTP请求中的referrerReferrer-Policy
weixin_33714884的博客
05-12 3765
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值