HTTP请求中的Referer和Referrer Policy

最新推荐文章于 2025-03-01 10:20:03 发布
最新推荐文章于 2025-03-01 10:20:03 发布
阅读量4.3k 收藏 5
点赞数 1
分类专栏: http 文章标签: referer referrer-policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxl1990_ok/article/details/109035782
版权

Referer

Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer(注:正确英语拼写应该是referrer,由于早期HTTP规范的拼写错误,为了保持向后兼容就一直延续下来)请求头识别访问来源,可能会以此统计分析、日志记录以及缓存优化等。

 注: Referer请求头可能会暴露用户的浏览历史、涉及到用户的隐私问题。

Referrer-policy

Referrer-policy作用就是为了控制请求头中referer的内容

包含以下值:

  • no-referrer : 整个referee首部会被移除,访问来源信息不随着请求一起发送。
  • no-referrer-when-downgrade : 在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP).
  • origin: 在任何情况下,仅发送文件的源作为引用地址。例如  https://example.com/page.html 会将 https://example.com/ 作为引用地址。
  • origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
  • same-origin: 对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。
  • strict-origin: 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
  • strict-origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
  • unsafe-url: 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全了)

如何设置referer

在HTML里设置meta 

<meta name="referrer" content="origin">

 

 

或者用<a>、<area>、<img>、<iframe>、<script> 或者 <link> 元素上的 referrerpolicy 属性为其设置独立的请求策略。 

<script src='/javascripts/test.js' referrerpolicy="no-referrer"></script>

 

 

未加referrerpolicy属性的link元素:

参考资料:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Referrer-Policy

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Referer

 

Referrer Policy 介绍
chengyujiaoz7891的博客
08-16 374
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在...
接口基础-HTTP请求中的referrerReferrer-Policy
心田幽兰开 的专栏
04-29 1279
本文将介绍一个涉及安全隐私的http请求中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。 什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求请求中的referrer字段就说明了你是从哪个页面发起该请求的。 使用场景 有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头中,
HTTP 请求“报头”——Referer Cookie
小蜗牛的珍贵百宝箱
12-24 2665
请求头携带客户端存储的cookie信息,服务器可以通过这些信息识别用户、维持会话状态、执行个性化操作等。Cookie是由服务器发送给浏览器并存储在浏览器中的一小块数据,浏览器在后续的请求中会自动带上这些cookie。(注意拼写有误,实际为“Referrer”)是HTTP请求报头中的一项,用来表示当前请求是从哪个页面跳转过来的。这两个请求头是现代Web开发中的基础,对于提高用户体验、增强安全性进行精准的用户行为分析非常重要。当用户从页面A点击链接跳转到页面B时,页面B的HTTP请求会携带来自页面A的。
深入了解HTTP请求中的Referer头部
YouAreMyLove995的博客
04-23 5838
Referer头部是HTTP请求中的一个标头字段,用于指示当前请求的来源页面。通常由HTTP客户端(如浏览器)发送给服务器,帮助服务器了解用户是从哪个页面跳转而来的。这个字段的作用在于提供了请求的上下文信息,有助于服务器进行处理响应。综上所述,Referer头部是HTTP请求中一个重要的标头字段,用于指示请求的来源页面。它在网站开发、分析安全防范中都有着重要的作用,但也需要注意用户隐私安全性方面的考虑。
C# .NET Core HttpClient HttpWebRequest 使用
最新发布
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
03-01 1万+
HttpWebRequest是老版本.net下常用的,较为底层且复杂,访问速度及并发也不甚理想,但是使用HttpWebRequest可以让开发者控制请求/响应流程的各个方面,如 timeouts, cookies, headers, protocols。一、可以参考微软官方提供的方法:https://docs.microsoft.com/zh-cn/aspnet/core/fundamentals/http-requests?///得到返回的stream,如果请求的是一个文件或图片,可以直接使用或保存。
围绕http请求头中Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
2.http请求头中Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer RefererHTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
Referrer Policy是浏览器提供的一个安全特性,它控制了浏览器在发送HTTP请求时,如何处理来源(Referer)头部的信息。Referer头部通常包含了用户点击链接前所在页面的URL,这在某些场景下可能泄露用户的隐私信息或者...
https网站发送 referrer https 与 http 跳转 referer 的问题
09-22
举例来说,如果希望当前页面中的所有请求都不发送referrer,可以使用如下元标签: ```html <meta name="referrer" content="never"> ``` 如果希望仅发送origin部分,则可以使用: ```html <meta name="referrer" ...
Http中Host,Referer,OriginAccess-Control-Allow-Origin
Mr_Li的博客
03-21 1284
HTTP协议中,Referer 是一个请求头(Request Header),它包含了当前请求页面的完整URL,即用户是从哪个页面链接到当前页面的。这个头部字段主要用于服务器端记录访问来源,分析用户行为,以及防止CSRF(跨站请求伪造)攻击。Referer 字段对于网站运营者来说是一个非常有用的工具,因为它可以帮助网站分析用户的行为模式,了解用户是如何找到并浏览网站的。例如,如果一家在线商店发现很多用户都是从特定博客文章链接过来的,那么他们可能会考虑与该博客作者建立合作关系,或者优化自己的营销策略。
Referrer Policy
06-10
Referrer Policy(引用者策略)是一个HTTP头部,它控制浏览器在发送请求时是否包含Referer(引用者)头部信息,该头部信息包含了当前页面的URL地址。Referrer Policy可以用来保护用户的隐私,因为通过Referer头部...
HTTP请求中的referrerReferrer-Policy
huangbaokang的博客
09-04 2491
什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求请求中的referrer字段就说明了你是从哪个页面发起该请求的。使用场景有时候我们需要控制这个referrer字段的值,即是否让其显示在请求头中,或者是否显示完整路径等。尤其是在以下两个使用场景: 隐私 在社...
HTTP请求头部的Referer字段什么时候出现?什么时候不出现?
wsad0532的专栏
10-22 2115
Referer字段(注意正确的拼写应为“referrer”,但HTTP标准中由于历史原因沿用了“Referer”)是HTTP请求头部的一个关键组成部分,它主要用于指示当前请求的来源页面。
面试题:什么是 Referer
jakelihua
06-11 1498
一般情况下,当一个用户浏览器访问一个页面时,请求头会包含 Referer 字段,告诉服务器用户从哪个网页跳转过来。例如,如果一个网站有引用一张图片,那么就需要检查该图片的 Referer 字段,只有在特定的来源页面中才允许访问。同样的,防火墙也可以使用 Referer 来辨别恶意请求安全访问服务的请求来源等。需要注意的是,Referer 的敏感性较高,因为它可能泄露用户隐私受到攻击者的利用,比如防止 CSRF 攻击,即攻击者可以通过篡改 HTML 中的表单提交地址,寻找可利用并导致目标应用程序漏洞等。
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 7178
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
Referer的理解及防盗链
weixin_64311421的博客
01-09 7519
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
no-referrer-when-downgrade
这不是我的博客
04-29 1万+
no-referrer-when-downgrade
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值