Google85版本后referer的丢失

最新推荐文章于 2023-07-14 19:17:20 发布
最新推荐文章于 2023-07-14 19:17:20 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: 开发问题 文章标签: vue.js html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zixing08/article/details/109303224
版权

最近在开发中发现了一个问题,就是之前我们平台的是嵌套在省公司的平台,每次用户信息的获取是从大菜单第一次跳转的请求头内的referer中获取,每次需要从中进行用户信息的鉴权.但是在国庆来了后,突然发现很多用户的无法进行正常的鉴权操作,导致使用量急剧下降.
在一番测试之后发现了,高版本的Google浏览器普遍出现referer的丢失,低版本是可以正常的使用.从中分析,应该是Google浏览器的版本问题,就去解读最近的Google浏览器更新的版本.果不其然,

在Google 8.5版本之后,原本默认的 referer 策略(policy)是no-referrer-when-downgrade,即允许referer带上来源页面地址上的请求参数,Chrome85+将策略修改为strict-origin-when-cross-origin,即如果请求地址与请求页面非同源,将只携带请求的域名,不会再带上来源页面地址的请求参数。

那如何解决呢,可以在html里设置

<metaname="referrer"content="no-referrer-when-downgrade"/>

也可以在nginx设置header,这样就不用重新上线了

add_header Referrer-Policy no-referrer-when-downgrade;

总结:

Syntax
Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url
no-referrer

整个 Referer 首部会被移除。访问来源信息不随着请求一起发送

no-referrer-when-downgrade (默认值)

在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。
origin
在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。
origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
same-origin
对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息
strict-origin
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
strict-origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
unsafe-url
无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全的策略了)

zixing08
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
Document.Referrer丢失的几个原因
hat11223的专栏
11-19 1659
Referrer的重要性<br />HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在 www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn /sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的
HTTP Referrer-Policy缺失(diwei)
小小关的博客
06-29 4432
新的Referrer Policy规定了五种Referrer策略Referrer Policy States如下:No Referrer策略 属性值:no-referrer 意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略 属性值:no-referrer-when-downgrade 意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息
nginx 漏洞修复(二)
趴着的猫的博客
05-18 4825
1、HTTP Referrer-Policy 响应头缺失 描述: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有:.
检测到目标Referrer-Policy响应头缺失
lxyoucan的博客
07-14 3639
Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
网络请求F12报链接出现no-referrer-when-downgrade
qq_36708622的博客
02-24 2332
报错: 该请求控制台报错: 解决方案: 使用axios进行请求时,延长超时设定,将15000改大一点
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 6678
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
javascript操作referer详细解析
10-26
当使用`window.location.hostname`或`window.location.assign()`等方式更改URL时,某些版本的IE(5.5+)会丢失referrer信息,而在Chrome 3.0+、Firefox 3.5、Opera 9.6和Safari 3.2.2中,referrer则能正常返回。...
laravel-referer:记住访问者的原始referer
02-03
如果URL中存在外部主机,则来自请求的Referer标头中的域 空的 支持我们 我们投入了大量资源来创建。 您可以通过来支持我们。 非常感谢您从家乡寄给我们一张明信片,其中提到您使用的是哪个包装。 您可以在上找到...
Java 通过设置Referer反盗链
09-05
当用户从一个外部链接访问网站资源时,浏览器通常会在请求头中携带`Referer`字段,表明是从哪个页面发起的请求。如果`Referer`不在允许的列表内,网站服务器就会拒绝提供资源。 Java中,我们可以利用`java.net....
PHP伪造referer实例代码
10-30
然后,使用 `fsockopen` 函数连接目标主机,并构建伪造的 Referer 信息,包括 `Host`、`Referer` 和 `User-Agent`。 模拟 HTTP 请求 代码使用 `fputs` 函数将伪造的 Referer 信息发送到目标主机,并模拟一个 GET ...
referrer参数丢失问题
pillar04的专栏
11-02 3268
referrer参数丢失问题,无法获取完整referer
浏览器中丢失referrer和HTTPS=>HTTP丢失referer的解决:基于会话的站内来源地址URL还原...
车东@CSDN
12-08 4511
Referer丢了会导致很多来源分析就做不了了,以前referer丢失来源有三种: 0 代码因素:一些js构造链接打开的模式会造成referer丢失,解决方法是尽量避免windows.open meta refr...
安全漏洞修复帖
weixin_45067120的博客
03-09 1858
整理系统遇到的安全漏洞
google Chrome 浏览器升级更新了来源策略,导致不同域名来源页面信息【Referer】只有域名信息
JineD的博客
11-13 6140
google Chrome 浏览器升级更新了来源策略,导致不同域名来源页面信息【Referer】只有域名信息,需要设置来源策略【Referrer-Policy】解决 ,目前影响GA跟踪的页面来源分析、影响产品内购率指标。 1、来源标头参数介绍 HTTP Referer 是什么? 当使用者访问网站时,会发送请求 (request) 给服务器主机,而请求 header 中会有一个标头是「referer」,而此参数会存放当前请求来源的位置,也就是说请求的来源页面。 HTTP Referrer-Pol.
Referrer丢失的几个场景
kevin1
07-26 307
Referrer的重要性 HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在 www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn /sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客...
前端请求referer丢失的情形
maoer95209520的博客
09-10 3336
相信不少流量来源统计者都有类似经历,就是直入流量太高,直入流量的主要特征是referer为空,而导致referer丢失的原因有很多,这里做一下汇总: 1、鼠标拖拽是现在非常流行的用户习惯,很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览。但是通过这种方式打开的页面,基本全都丢失referrer。并且,这种情况下,也无法使用window.opener的方式去获取丢失referrer了。 2、点击Flash上到达另外一个网站的时候,Referrer的情况就比较杂乱了。IE下,通过客户端javas
Python爬虫:(亲测,已解决!)解决在使用谷歌浏览器的开发者工具时,没有Referer防盗链缺失问题。
qq_51143048的博客
09-10 1534
今天,我在做Python网络爬虫时(web spider),正在爬取哔哩哔哩的某一个视频,发现一个致命问题,就是单纯在headers中加入UA(user-Agent)是不够的,也就是说,我的爬虫没有足够的权限全访问此网站,所以,我的headers还少了一些东西。所以我怀疑,我的浏览器已经更新了,或者发生了其他错误,将我的Referer给弄没了,但其实,Referer还存在,只是我们看不到而已,所以,现在的问题,就成了。那么,接下来,请跟着我的步骤走下去,慢慢的走,不要心急,慢慢揭开那神秘的面纱。
谷歌浏览器请求 strict-origin-when-cross-origin 跨域问题,解决方法之一
IT_dabai的博客
04-04 5296
项目打包部署在内网后,index.html 里通过script标签引入的其他链接资源不能正常请求,报的是跨域错误
谷歌插件 referer refuse
最新发布
09-08
谷歌插件"Referer Refuse"是一款可以禁用或修改网页请求链接中的"Referer"字段的插件。"Referer"是HTTP请求头中的一个字段,用于表示当前请求的来源URL。它在网页浏览过程中经常被使用,比如网页追踪、广告跟踪和...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值