HTTP首部---referrer 知识点
Referrer介绍
Referrer网站来路;访问者进入网站任何途径。HTTP Referer是header的一部分,当浏览器向web服务器发出请求的时候,一般会带上Referer,告诉服务器用户从那个页面连接过来的,服务器藉此可以获得一些信息用语处理。
获取referrer
js中获取:var referer = document.referrer;
java后台获取:String referrer = request.getHeader(“referer”);
作用
判断网站来源,可以相应的做一些校验,比如只允许某网站的请求,那么就可以通过获取referer,加以判断即可.
注意
我原来一直以为ajax的请求的referer是当前页面的referer,后来发现是错误的
ajax请求的referer是当前页面,因为本次请求就是在当前页面发起的,
注意referer的定义.是这个请求是哪个页面发出的,referer就是哪个页面
下面这个是转载的,关于referrer policy的介绍,转自:https://caixw.io/posts/2017/referrer-policy.html
Referrer Policy 介绍
当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,会原样不动地当作 Referrer 报头的内容传递给第三方网站。
所以就有了 Referrer Policy,用于过滤 Referrer 报头内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。具体的可查看这里。
指令值
目前包含了以下几种指令值:
enum ReferrerPolicy {
“”,
“no-referrer”,
“no-referrer-when-downgrade”,
“same-origin”,
“origin”,
“strict-origin”,
“origin-when-cross-origin”,
“strict-origin-when-cross-origin”,
“unsafe-url”
};
空字符串
按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。
no-referrer
从字面意思就可以理解,不传递 Referrer 报头的值。
no-referrer-when-downgrade
当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 http://example.com/path http://example.com?token=123
https//example.com http://example.com/path 无(协议降级)
http://example.com?token=123 https://example.com/path http://example.com?token=123
same-origin
同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 http://example.com/path http://example.com?token=123
https//example.com http://example.com/path 无(协议不同)
http://example.com?token=123 https://example.com/path 无(协议不同)
http://example.com?token=123 http://example.com:88/path 无(端口不同)
https://example.com?token=123 https://caixw.io 无(域名不同)
origin
将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com
http://example.com?token=123 https://example.com/path http://example.com
https://example.com?token=123 https://caixw.io https://example.com
strict-origin
类似于 origin,但是不能降级。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com
http://example.com?token=123 https://example.com/path http://example.com
http://example.com?token=123 http://caixw.io http://example.com
https://example.com?token=123 http://caixw.io 无
origin-when-cross-origin
跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 https://example.com/path http://example.com?token=123
http://example.com?token=123 http://caixw.io http://example.com
strict-origin-when-cross-origin
与 origin-when-cross-origin 类似,但不能降级。
原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
https://example.com?token=123 https://caixw.io https://example.com
https://example.com?token=123 http://example.com/path 无
https://example.com?token=123 http://example.com/ 无
unsafe-url
任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。
传递方式
Referrer-Policy 报头
推荐的方式,直接在 Referrer-Policy 报头中设置。
Referrer-Policy: origin;
Meta
通过指定 name 值为 referrer 的 meta 标签,也可以达到相同的效果:
content 可以是上面的指定的值,也可以是下面这几种旧的指令值,会自动作相应的转换,但不推荐这些旧的指令值:
Legacy Referrer
never no-referrer
default no-referrer-when-downgrade
always unsafe-url
origin-when-crossorigin origin-when-cross-origin
标签属性
a 和 link 标签可以通过属性 rel 指定 noreferrer,仅对当前链接有效;
a、area、link、iframe 和 img 还可以通过 referrerpolicy 指定仅针对当前链接的设置。
设置
设置Referrer Policies主要有以下几种
CSP 响应头
CSP(Content Security Policy),是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。:
Content-Security-Policy: referrer
我们还可以在 里面设置:
<meta http-equiv="Content-Security-Policy" content="referrer">
meta 标签
通过 标签也可以指定 Referrer 策略,同样很简单:
<meta name="referrer" content="no-referrer">
我们把<meta> 放在 <head> ...</head> 之间。注意,如果出现的位置不对会被忽略。
同样,如果没有给它定义 content 属性,或者 content 属性为空,也会被忽略。
如果 content 属性不是合法的取值,浏览器会自动选择 no-referrer 这种最严格的策略。
a 标签的 referrer 属性
通过给 a 标签增加 referrer 属性也可以指定 Referrer 策略,格式如下:
<a href="https://www.iteblog.com" referrer="no-referrer">过往记忆</a>
这种方式作用的只是这一个链接。
并且,<a> 标签可用的 Referrer 策略只有三种:no-referrer、origin 以及 unsafe-url 。
另外,这样针对单个链接设置的策略优先级比 CSP 和 要高。
HTTP首部---referrer 知识点相关推荐
- referrer 值设置不对,导致 引入百度站长 hm.js 读取只有175B且内容长度为0的原因
具体情况 原因 html代码中,Referrer设置不对,比如我的代码中,是这样的: <meta name='referrer' content="never"> 关于 ...
- 令人心动的HTTP知识点大全
前言 令人心动的http知识点,学习面试,必知必会!(本文较长,也可选择看加重部分哦) 一.TCP/IP协议族 1.定义 所有互联网相关的协议(http/tcp/udp/ip/dns/ftp等)的总称 ...
- 前端开发知识点整理(1)—网络—秋招/春招/实习/工作
网络 目录 网络 1 HTTP和HTTPS 1.1 HTTP和HTTPS 1.2说一下HTTP2.0 1.3 HTTP1.0/1.1/2.0/3区别 1.4 HTTP3.0[极少问到,但如果了解,是加 ...
- 前端笔试面试知识点总结(随缘复习,慢更)
前端笔试面试知识点总结 1 HTTP/浏览器 1.1 HTTP 1.1.1 HTTP请求报文与响应报文 1.1.1.1 HTTP请求报文 1.1.1.2 HTTP响应报文 1.1.2 get与post ...
- 连肝 7 个晚上,总结了 66 条计算机网络的知识点
作者 | 哪吒 来源 | 程序员小灰(ID:chengxuyuanxiaohui) 计算机网络知识是面试常考的内容,在实际工作中经常涉及.最近,我总结了66条计算机网络相关的知识点. 1.比较http ...
- 计算机二级vf知识点总结,2015年计算机二级考试《VFP》复习重点:第四章
第四章 Visual FoxPro 数据库及其操作 1.创建数据库 可以通过以下几种方式创建数据库: (1).在"项目管理器"中创建数据库 打开" 项目管理器" ...
- Java 面试知识点解析(五)——网络协议篇
前言: 在遨游了一番 Java Web 的世界之后,发现了自己的一些缺失,所以就着一篇深度好文:知名互联网公司校招 Java 开发岗面试知识点解析 ,来好好的对 Java 知识点进行复习和学习一番,大 ...
- (chap6 Http首部) 请求首部字段 RefererTE User-Agent
17. Referer 首部字段Referer会告知服务器请求的原始资源的URI. 格式: Referer: http://www .hackr.jp/index.htm 客户端一般都会发送Refer ...
- 8-10 牛客网刷题知识点集合
在关系代数运算中,五种基本运算为 ? 并.差.选择.投影.笛卡尔乘积 ( + - * 选择 投影) 关于OSI参考模型的描述中,正确的是? 按功能可以分为7个层次 OSI参考模型 自下而上: ...
最新文章
- 注意:你智能机中的流氓APP
- Androidn Notification的使用,解决找不到setLatestEventInfo方法
- MySQL自学笔记2--select的5个子句
- C语言 计算2-4+6-8+.....+98-100的结果
- Spring Cloud Gateway 之获取请求体的几种方式
- Python的功能模块[3] - binascii - 编码转换
- 计算机导论上机模拟,计算机导论模拟考试题6份完整版.doc
- Jq将字符串复制粘贴到剪贴板
- android ListView控件滑动时出现黑色背景问题解法方案
- mysql 密码文件改成密文_数据库密码弄成密文
- Extjs的打印解决方案
- 字符集及其存储方式(解决乱码问题)
- 三星s8android8.0,三星S8国行升级安卓8.0 系统流畅度提升
- 今天,我们能否见证小米的伟大时刻——以专利为视角的创新能力分析
- 手势解锁java后端设计_自己定义九宫格手势解锁
- web前端之跳一跳网页版小游戏
- 大四去NTT面试软件实习生的个人总结
- Person Search
- 函数和绝对值函数可导,可积,连续,极限间的关系
- PULUODY LIMS系统实操
热门文章
- 重置服务器硬件管理口 IMM IPMI BMC 密码
- 用js/react写一个计算器
- 电子计算机机房折旧提几年,IDC设备资产运营中四种“折旧率计算”的常见方法...
- WCF框架-分布式联调
- 零基础入门前端编程,是先学HTML5,还是JavaScript?
- 你听过哥德巴赫猜想吗?不愧是世界近代三大数学难题之一啊(48)
- java显示1到n的整数值的平方
- 异端审判器!一个泛用型文本聚类模型的实现(2)
- 正在报名:2022年5G消息开发者马拉松
- redis hscan field数量 >= 512,开始分页!!!