HTTP请求中的referrer和Referrer-Policy

最新推荐文章于 2024-08-13 09:02:16 发布
转载 最新推荐文章于 2024-08-13 09:02:16 发布 · 3.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5cd81b59518825686a06fd05
文章标签:

#php #c# #javascript #ViewUI

本文介绍了HTTP请求中的referrer概念及其在隐私和安全方面的使用场景。详细讨论了Referrer-Policy的多个策略,如空字符串、no-referrer等,并讲述了如何更改Referrer-Policy,包括通过HTTP设置、元素属性修改等方法。最后,文章总结了referrer和Referrer-Policy的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文将介绍一个涉及安全和隐私的http请求头中的字段— referrer,以及如何通过 Referrer Policy去修改 referrer的值或者是显示与否。

什么是referrer

当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:


也就是说,当你发起一个http请求,请求头中的 referrer字段就说明了你是从哪个页面发起该请求的。

使用场景

有时候我们需要控制这个 referrer字段的值,即是否让其显示在请求头中,或者是否显示完整路径等。尤其是在以下两个使用场景:

隐私

在社交网站的个人中心页面,也许会存在一些外链,这时候社交网站肯定不希望用户在点击这些链接跳转到其他第三方网站时会将自己个人中心的URL信息显示在 referrer字段中传过去,尤其是个人中心页面的URL往往会带着用户数据和一些敏感信息。这时候可以选择不显示来源页面URL信息或者只显示一个网站根地址hostname。

安全

有些使用了https的网站,可能在URL中使用一个参数(sid)来作为用户身份凭证,而又需要引入其他https网站的资源,这种情况,网站肯定不希望泄露用户的身份凭证信息。当https网站需要引入不安全的http网站的资源或者有链接要跳转到http网站时,这时候将https源网站的URL信息传过去也是不太安全的。

当然还有其他情况下需要referrer的值,比如最近公司所做的项目中,有一个请求由于请求头过大导致响应是400,我们的Referrer Policy是默认的情况,显示的referrer是完整的URL信息,该URL带了很多敏感数据比如加密后的token,sessionID等,长度特别长,请求头中的cookie和请求的URL也带着很大块的信息,最终我们决定让referrer只携带网站根地址的信息而不是其完整路径,由此减小了header的大小。

Referrer-Policy

Referrer-Policy的作用就是为了控制请求头中 referrer的内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。
目前 Referrer-Policy只包含以下几种值: 
enum ReferrerPolicy {
"",
"no-referrer",
"no-referrer-when-downgrade",
"same-origin",
"origin",
"strict-origin",
"origin-when-cross-origin",
"strict-origin-when-cross-origin",
"unsafe-url"
};复制代码

空字符串

若设为空串则默认按照浏览器的机制设置 referrer的内容,默认情况下是和 no-referrer-when-downgrade设置得一样。

no-referrer

不显示 referrer的任何信息在请求头中。

no-referrer-when-downgrade

这是默认值。当从https网站跳转到http网站或者请求其资源时(安全降级HTTPS→HTTP),不显示 referrer的信息,其他情况(安全同级HTTPS→HTTPS,或者HTTP→HTTP)则在 referrer中显示完整的源网站的URL信息。

same-origin

表示浏览器只会显示 referrer信息给同源网站,并且是完整的URL信息。所谓同源网站,是协议、域名、端口都相同的网站。

origin

表示浏览器在 referrer字段中只显示源网站的源地址(即协议、域名、端口),而不包括完整的路径。

strict-origin

该策略更为安全些,和 origin策略相似,只是不允许 referrer信息显示在从https网站到http网站的请求中(安全降级)。

origin-when-cross-origin

当发请求给同源网站时,浏览器会在 referrer中显示完整的URL信息,发个非同源网站时,则只显示源地址(协议、域名、端口)

strict-origin-when-cross-origin

origin-when-cross-origin相似,只是不允许 referrer信息显示在从https网站到http网站的请求中(安全降级)。

unsaft-url

浏览器总是会将完整的URL信息显示在 referrer字段中,无论请求发给任何网站。

Referrer-Policy更改方法

可以有以下5种方法:

1. 通过Referrer-Policy HTTP header设置:

Referrer-Policy: origin复制代码

2. 通过<meta>元素改变Referrer Policy,直接修改名为referrer的内容

<meta name="referrer" content="origin">复制代码

3.<a>, <area>, <img>, <iframe>, 或者<link>元素设置referrerpolicy属性

<a href="http://example.com" referrerpolicy="origin">复制代码

4. 如需设置不显示referrer信息时,也可以给 <a>, <area>, <link>元素设置rel的链接关系。

<a href="http://example.com" rel="noreferrer">复制代码

总结

使用何种 Referrer Policy取决于网站的需求,但是一般来说, unsafe-url是不太建议用的,同样,如果是只想显示网站的根地址,那么建议用 strict-origin和s trict-origin-when-cross-origin。如果URL中没有什么敏感信息,那就默认使用 no-referrer-when-downgrade



转载于:https://juejin.im/post/5cd81b59518825686a06fd05

Referrer Policy 介绍
chengyujiaoz7891的博客
08-16 387
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在...
iframe属性介绍
最新发布
wscfan的博客
06-19 1289
iframe(内联框架)是HTML中用于在当前页面中嵌入另一个网页的元素。它创建了一个独立的浏览上下文,可以加载外部或内部的HTML文档。
http 策略之 Referrer-Policy
lxw1844912514的博客
12-28 1781
一、背景说道referer ,大家想必知道的清楚一些。referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer...
HTTPReferrerReferrer-policy
qq_57289939的博客
02-02 4812
HTTPReferrerReferrer-policy
引用站点策略(Referrer Policy
weixin_63490470的博客
08-13 3131
引用站点策略(Referrer Policy)是HTTP响应头中的一个安全相关字段,用于控制在用户从一个页面导航到另一个页面时,是否以及如何发送 referrer 信息。Referrer 是指当前页面的上一个页面的 URL,通过这个字段可以追踪用户的来源。默认情况下,浏览器会将完整的 referrer URL 发送给目标页面,这可能包含敏感信息如登录凭证或个人数据。为了保护用户隐私安全,网站管理员可以通过设置 Referrer-Policy 来控制 referrer 的内容发送方式。
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1635
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
Referrer-Policy常见属性
qq_42808052的博客
09-30 9996
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
HTTPReferrerReferrer Policy介绍
《穷小子的IT世界》的专栏
12-16 422
Referrer referrerHTTP请求header的报文头,用于指明当前流量的来源参考页面。通过这个信息,我们可以知道访客是怎么来到当前页面的。这对于Web Analytics非常重要,可以用于分析不同渠道流量分布、用户搜索的关键词等。 但是,这个字段同时会造成用户敏感信息泄漏(如:带有敏感信息的重置密码URL,若被Web Analytics收集,则存在密码被重置的危险)。 Referrer 还是 Referer? Referer是上世纪 90 年代由Philip Hallam-Baker提
HTTPReferrer Policy
优快云
08-11 1938
客户端通过设置Referrer Policy来控制是否在请求头中告知服务端请求来源。来源信息写在生成的请求头的referer中。 注意 Referer 实际上是单词 “referrer” 的错误拼写。Referrer-Policy 这个首部并没有延续这个错误拼写。 Referrer Policy的取值: no-referrer 整个 Referer 首部会被移除。访问来源信息不随着请求一起...
RefererReferrer Policy详解
weixin_43487782的博客
03-05 5182
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
ReferrerReferrer-policy
m0_56501091的博客
01-10 345
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP).strict-origin: 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
HTTP杂谈之Referrer-Policy响应头
wzj_110的博客
01-19 1857
Referrer-Policy 各个值的解读,Referrer-Policy 使用方法。Referrer-Policy解读
请求出现Referrer Policy: no-referrer-when-downgrade
06-13
Referrer Policy: no-referrer-when-downgrade是一种浏览器安全策略,用于控制在HTTP请求中发送哪些Referrer信息。在这个策略下,当从HTTPS页面链接到HTTP页面时,Referrer信息不会被发送,但当从HTTP页面链接到任何页面时,Referrer信息将被发送。这可以避免通过HTTP链接到敏感页面时,Referrer信息被暴露出去的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值