Referer字段丢失问题

最新推荐文章于 2023-01-09 20:30:51 发布
原创 最新推荐文章于 2023-01-09 20:30:51 发布 · 6.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Referer #http协议

当从HTTPS页面跳转到HTTP页面时,HTTP Referer字段通常不会被传递,导致大数据埋点丢失来源信息,影响业务数据采集。虽然可通过设置HTML meta标签让浏览器携带Referer,但这并非所有浏览器都支持的标准行为。Referer主要用于告知服务器用户是从哪个页面来的,但在某些情况下,如鼠标拖拽、Flash链接及HTTPS到HTTP的跳转,Referer可能会丢失或不被发送。

HTTP协议规定:

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.

https://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3

15.1.3 Encoding Sensitive Information in URI's

Because the source of a link might be private information or might reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred

最低0.47元/天 解锁文章
浏览器中丢失referrer和HTTPS=>HTTP丢失referer的解决:基于会话的站内来源地址URL还原...
车东@优快云
12-08 4992
Referer丢了会导致很多来源分析就做不了了,以前referer丢失来源有三种: 0 代码因素:一些js构造链接打开的模式会造成referer丢失,解决方法是尽量避免windows.open meta refr...
javascript referer详解
最新发布
12-30
JavaScript中的`referer`字段作为HTTP协议中的一个核心组成部分,其作用在于记录用户访问当前页面的前一个URL地址。 该字段的信息对于网站进行深度分析、监测用户行为轨迹以及评估流量构成具有不可替代的价值。 在...
Document.Referrer丢失的几个原因
hat11223的专栏
11-19 1788
Referrer的重要性<br />HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在 www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn /sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的
前端请求referer丢失的情形
maoer95209520的博客
09-10 3940
相信不少流量来源统计者都有类似经历,就是直入流量太高,直入流量的主要特征是referer为空,而导致referer丢失的原因有很多,这里做一下汇总: 1、鼠标拖拽是现在非常流行的用户习惯,很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览。但是通过这种方式打开的页面,基本全都丢失referrer。并且,这种情况下,也无法使用window.opener的方式去获取丢失referrer了。 2、点击Flash上到达另外一个网站的时候,Referrer的情况就比较杂乱了。IE下,通过客户端javas
referrer参数丢失问题
pillar04的专栏
11-02 4115
referrer参数丢失问题,无法获取完整referer
Referrer丢失的几个场景
kevin1
07-26 418
Referrer的重要性 HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在 www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn /sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客...
javascript操作referer详细解析
10-26
JavaScript中的`referer`是一个关键的HTTP头部字段,它记录了用户从哪个URL访问了当前页面。这个信息对于网站分析、追踪用户来源以及了解流量来源至关重要。在JavaScript中,我们可以使用`document.referrer`来获取...
Nginx session丢失问题处理解决方法
09-29
在使用Nginx作为反向代理服务器时,有时会遇到session丢失问题,这通常是由于代理和后端服务器之间交互配置不当引起的。下面是处理和解决Nginx session丢失问题的一些知识点和方法: 1. 了解Session机制:在Web...
使用referer指令配置Nginx服务器来防止图片盗链
09-30
Referer字段会记录浏览器发起请求时所访问页面的地址。在Nginx中,ngx_http_referer_module模块就提供了这样的功能。 具体操作步骤如下: 1. 首先,找到要配置防盗链的域名对应的Nginx配置文件。通常,该文件位于/...
用 js 做 URL 跳转带来的 Referer 丢失问题.
weixin_34240520的博客
10-19 692
http 302 重定向是可以保持 referer 的。例:在 A 页面上提交登录表单到 B,B 返回一个重定向页面到 C,在 C 处理里面检查 Referer 可知道它的来源是 A 而不是 B。 但是如果用 window.location 或 document.location 做这个跳转就不一样了。假如在 A 页面上执行 window.location = B,如果是 IE 浏览器,会发现 ...
Google85版本后referer丢失
zixing08的博客
10-27 2098
最近在开发中发现了一个问题,就是之前我们平台的是嵌套在省公司的平台,每次用户信息的获取是从大菜单第一次跳转的请求头内的referer中获取,每次需要从中进行用户信息的鉴权.但是在国庆来了后,突然发现很多用户的无法进行正常的鉴权操作,导致使用量急剧下降. 在一番测试之后发现了,高版本的Google浏览器普遍出现referer丢失,低版本是可以正常的使用.从中分析,应该是Google浏览器的版本问题,就去解读最近的Google浏览器更新的版本.果不其然, 在Google 8.5版本之后,原本默认的 refer
HTTP请求头中的refer字段
bian_qing_quan11的博客
08-25 9222
HTTP请求头中的refer字段
HTTP请求头中的referer字段
热门推荐
老司机开代码的博客
08-03 1万+
文章目录1. HTTP_REFERER定义2. 实例3. referer字段的作用?1. 统计网站请求来源2. 防盗链4. referer为空的情况 1. HTTP_REFERER定义 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 简单来说就是当你向一个服务器发起请求的时候,服务器会很好奇,你是从哪里知道它的,因此你需要通过http请求头中的referer字段
HTTPS头部的Referer字段
m0_63069714的博客
01-09 1885
Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer 请求头识别访问来源,可能会以此统计分析、日志记录以及缓存优化等。注。
HTTP referer
冷静地思考
12-18 9065
referer, 或 HTTP referer, 是HTTP表头的一个字段,用来表示从哪儿连结到目前的网页,采用的格式是URL。换句话说,借着 referer ,目前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。而 dereferer 则是将 referer 资讯剥离,所以网站将无法识别访客从何而来。Referer的正确英语拼法是referrer。由于早期HTTP规范的拼
初识httpreferer字段
Ackerly的博客
11-25 8771
首先了解httpreferer字段的作用 referer字段表示从哪里链接到当前网页,常用于对付伪造的跨网站请求,通过referer字段来实现防盗链。 ps:关于盗链 盗链指的是在自己的界面展示不在自己服务器上的内容,通过技术手段获得他人服务器的资源地址,绕过别人资源展示页面,在自己页面向用户提供此内容,从而减轻自己服务器的负担,因为真实的空间和流量来自别人服务器。对于使用apahce的服
fiddler CSFF安全漏洞-重点讲解refer字段、token字段
ZYXia888的博客
12-14 2906
1、通常情况下,有三种方法可以被用来防御CSRF攻击: 验证token 验证HTTP请求的Referer 验证XMLHttpRequests里的自定义header 2、测试验证上面三种方法的步骤 验证token 注意:token应该要有随机性和时效性, 时效性:可以等待一段时间后,重新请求是否能请求成功,如果请求成功,那就是有问题 随机性:每一次token值应该是不一样的 验证HTTP请求的Referer fiddler 找到请求的http后,在头文件找到refer字段,编辑后,直接搞为空,或
http 请求头字段
ld513508088的专栏
12-12 1613
1.http1.0请求协议特点是一次只能访问服务器上的一个请求资源,请求完毕后服务器立马断开连接;http1.1协议则可访问多个资源。 2.get请求数据容量不能超过1k,get请求数组在请求资源后边即在请求行;post请求数据量没限制,post请求数据在请求体中 3.请求头各字段详解 Accept: text/html,image/* 用于告诉服务器,客户机支持的数据类型 Accept-
学习 HTTP Referer
Maisucsdn的博客
08-10 4307
HTTPReferer 字段在工作中或许并不会吸引你的注意,隐藏在 Network 的请求之下,但是却有着非常重要的作用。平常你一定会遇到一些问题需要去排查,假如这个问题在你排查完全部代码后,依然没有解决,这个时候你会怎么办?此时我们就需要将排查问题的角度转换一下,切换到 HTTP 协议上。...
什么是REFERER
12-18
<think>好的,用户问的是“什么是REFERER”。首先,我需要确认REFERER的正确拼写应该是“Referer”,虽然有时候可能会有拼写错误,但标准名称是Referer。接下来,我需要解释这个HTTP头部字段的作用和用途。 首先,Referer字段用于标识当前请求是从哪个页面发起的。例如,当用户点击一个链接跳转到另一个页面时,浏览器会在请求新页面时发送Referer头,包含来源页面的URL。这对于服务器来说,可以用来分析流量来源、防盗链或者进行安全检查。 接下来,我需要详细说明Referer的具体应用场景。比如,防盗链功能,服务器可以通过检查Referer来防止其他网站盗用资源;统计分析,网站可以记录不同来源的访问量;安全控制,防止CSRF攻击,通过验证请求是否来自可信的来源。 然后,要提到Referer的安全性和隐私问题。虽然Referer提供了有用的信息,但有时可能泄露用户的浏览历史,尤其是在HTTPS网站跳转到HTTP时,Referer可能会包含敏感信息。此外,有些浏览器或插件可能会修改或隐藏Referer头,以保护用户隐私。 还需要区分Referer和Origin头的不同。Referer通常包含完整的来源URL,而Origin则更简洁,只包含协议、主机和端口,适用于跨域请求时的安全控制,比如CORS。 此外,用户可能想知道如何在浏览器或服务器端处理Referer。例如,开发者可以通过设置`Referrer-Policy`来控制Referer的发送行为,如`no-referrer`、`same-origin`等策略,以平衡安全和功能需求。 最后,总结Referer的作用和注意事项,确保用户理解其重要性及潜在风险。同时,根据之前的回答模式,生成相关问题,比如Referer和Origin的区别、如何防止信息泄露、Referrer-Policy的作用等。 </think>RefererHTTP 请求头字段之一,用于**标识当前请求的来源页面 URL**。当浏览器发起请求时(如访问链接、加载图片或提交表单),若该请求是由某个页面触发的,浏览器会自动在请求头中添加 Referer 字段,记录触发请求的页面地址。 --- ### **Referer 的核心作用** 1. **流量来源分析** - 服务器通过 Referer 可识别用户是从哪个页面跳转而来(如搜索引擎、广告链接或第三方网站),用于统计分析流量来源。 2. **防盗链(Anti-Leeching)** - 防止其他网站直接引用本站资源(如图片、视频)。例如: - 若服务器检测到 Referer 为非授权域名(如 `Referer: http://evil.com`),则返回 403 错误,拒绝提供资源。 3. **安全控制** - 防止跨站请求伪造(CSRF):服务器可校验请求的 Referer 是否来自可信域名,避免恶意网站伪造请求。 4. **日志记录** - 记录用户行为路径,辅助分析用户浏览习惯(如从首页跳转到商品详情页)。 --- ### **Referer 的格式示例** ```http Referer: https://example.com/pageA ``` - **含义**:当前请求是从 `https://example.com/pageA` 页面发起的。 --- ### **Referer 的常见场景** 1. **点击链接跳转** - 用户点击页面中的超链接(如从 `pageA.html` 跳转到 `pageB.html`),浏览器会为 `pageB.html` 的请求添加 Referer 头。 2. **加载静态资源** - 页面中的图片、CSS、JavaScript 文件请求会携带 Referer,指向当前页面的 URL。 3. **表单提交** - 提交表单时,浏览器会在 POST 请求头中添加 Referer,标识表单来源页面。 4. **API 请求** - 前端 JavaScript 发起的 AJAX 请求也可能携带 Referer(取决于浏览器策略和 Referrer-Policy 设置)。 --- ### **安全性与隐私问题** 1. **信息泄露风险** - Referer 可能包含敏感路径或参数(如 `https://bank.com/account?user=admin`),暴露用户操作行为。 2. **HTTPS → HTTPReferer 丢失** - 从 HTTPS 页面跳转到 HTTP 页面时,为防止中间人窃取 Referer,浏览器可能自动移除 Referer 头。 3. **用户隐私保护** - 部分浏览器或隐私插件会修改或清除 Referer(如使用 `Referrer-Policy: no-referrer`),以防止跟踪。 --- ### **与 Origin 的区别** | **特性** | **Referer** | **Origin** | |------------------|--------------------------------------|-------------------------------------| | **内容** | 完整的来源 URL(包含路径和参数) | 仅包含协议、主机和端口(如 `https://example.com`) | | **用途** | 流量分析、防盗链 | 跨域资源共享(CORS)和安全校验 | | **跨域请求** | 可能携带敏感路径 | 仅传递基础域名,更安全 | | **可伪造性** | 容易被客户端修改 | 由浏览器强制控制,更难伪造 | --- ### **如何控制 Referer 行为?** 通过设置 `Referrer-Policy` HTTP 响应头,可控制浏览器发送 Referer 的策略: - **`no-referrer`**:不发送 Referer。 - **`same-origin`**:仅同源请求携带 Referer(跨域时不发送)。 - **`strict-origin`**:仅发送来源域名,且 HTTPS → HTTP 时不发送。 - **`always`**:始终发送 Referer(可能泄露敏感信息)。 --- ### **示例:防盗链配置** 在 Nginx 中配置防盗链,拒绝非白名单域名的图片请求: ```nginx location ~ \.(jpg|png|gif)$ { valid_referers none blocked example.com *.example.com; if ($invalid_referer) { return 403; # 非法 Referer,返回 403 } } ``` - **效果**: - 合法请求(如 `Referer: https://example.com/pageA`)正常加载图片。 - 非法请求(如 `Referer: https://evil.com`)返回 403 错误。 --- ### **潜在问题与解决方案** 1. **Referer 缺失导致功能异常** - **问题**:某些网站依赖 Referer 校验登录状态或权限,但用户浏览器禁用 Referer 时功能失效。 - **解决方案**:结合 Token 或 Session ID 进行身份验证,而非依赖 Referer。 2. **跨域请求的 Referer 控制** - **问题**:前端调用第三方 API 时,若 Referer 被拦截可能导致鉴权失败。 - **解决方案**:使用 `Origin` 头替代 Referer 进行跨域校验。 3. **隐私与安全的平衡** - **问题**:过度依赖 Referer 可能导致隐私泄露或功能限制。 - **解决方案**:根据场景选择合适的 `Referrer-Policy`,例如: ```http Referrer-Policy: strict-origin-when-cross-origin ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值