`
driftcloudy
  • 浏览: 132207 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

浅析document.referrer

阅读更多

在流量统计服务中都有Traffic source这个功能。Traffic source是针对访次级别的概念,换句话说,当访次建立的时候,landing page的流量来源即是该访次的Traffic source。虽然Traffic source有很多种,不过不幸的是依据现在JS,获得Traffic source的途径只有两种——document.referrer、window.opener.更不幸的是,window.opener适用的场景不多,而document.referrer非常的弱,以至于很多场景下无法准确判断出流量来源。

document.referrer的覆盖

从使用意义上来说document.referrer希望能够追踪到的是浏览器端行为。如果一张页面A被打开,那么浏览器端可能会发生的动作有用户操作、JS代码两种。

 

先来看看用户打开页面A可能会进行的操作:

1 直接在地址栏中输入A的地址
2 从B页面左击link A,跳转至A页面
3 从B页面右击link A,在新窗口中打开
4 从B页面右击link A,在新标签页中打开
5 拖动link A至地址栏
6 拖动link A至标签栏
7 使用浏览器的前进、后退按钮

注意这里的link即指<A>标签,但是如果有事件或者target还要另当别论。

 

JS打开页面可能的方式:

1
修改window.location
2
使用window.open
3
点击flash

 

上面列出了客户端打开页面的一些方法,此外,如果通过服务端的重定向技术,也能够使得页面A呈现给访客。

 

下面来针对具体的浏览器测试,如果是上述的这些情况,document.referrer表现如何:

序号 场景
IE8.0 FF3.6 FF4.0 chrome
1 直接在地址栏中输入A的地址 " "
" "
" " " "
2 从B页面左击link A,A页面替换B页面(target='_self')
3 从B页面左击link A,A在新窗口中打开(target='_blank')
3 从B页面右击link A,在新窗口中打开 " "
4 从B页面右击link A,在新标签页中打开 " "
5 鼠标拖动link A至地址栏 " " " " " "
6 鼠标拖动link A至标签栏 " " " " " " " "
7 使用浏览器的前进、后退按钮 保持 保持 保持 保持
8 修改window.location打开A页面(同域) " "
9 使用window.open打开A页面 " "
10 点击flash打开A页面
11 服务器重定向至A页面 " " " " " " " "

 

其中," "表示一个空的字符串,√表示能够正确判断来源页,保持则意味使用前进后退不会改变页面的referrer。从这张表里可以看出document.referrer能覆盖大约一半的case。但是对于一些比较常用的操作,例如利用鼠标拖动link至标签栏、前进后退等情况还不能做出正确的处理。

document.referrer的来源

浏览器在向server请求页面A的时候,会发送HTTP请求。这个请求的Header里会带上Referer属性,server接收到该请求后,可以提取出Header里的Referer,用于判断访客是从哪个页面发起的请求。

一般情况下浏览器请求A时发送的Header中Referer是什么,那么拿到A页面后document.referre的值就是什么。上图是一个请求A页面的Header,A的document.referre为http://localhost/Test/b.html。

 

如果在Header中不包含Referre,那么用document.referre去取的时候,就会被赋值为空字符串。

关于HTTPS请求

如果在一张普通的HTTP页面上点击了HTTPS的链接,那么在https请求头部可以附上Referer信息,之后在HTTPS页面中依然可以用document.referre来获得普通的http页面。

 

同样,如果是在一张https页面上点击了另一个HTTPS的链接,可以在请求的头部附上Referer信息。

 

但是如果是从一张https页面点击了http链接,那么很不幸,发送的http请求头里无法包含关于https页面的信息,这可能是出于一种对https页面的保护措施。

伪造Referer信息

根据上文的描述,document.referre源自于Header中的Referer。那么如果想修改document.referre的值,理论上讲,仅需要修改请求Header。可以将Header中现有的Referer替换成自己想要的值,如果原来没有也可以添加Referer。

 

在客户端,篡改Header是一件非常容易的事情。在一个页面的http请求发出去之前,可以利用截包工具将其拦截,然后分析出头部信息,并且修改Referre。

 

搜了一下,对于FireFox可以使用RefControl插件方便的进行修改。总之,欺骗Traffic source是轻而易举的事情。

页面强制Refresh

写完不久就发现遗漏了一种页面跳转的方式,即在html中的meta标签里强制指定页面进行refresh。例如在b.html中写入

<meta http-equiv="Refresh" content="5;URL=a.html">

则过5秒后浏览器会自动向server发起a页面请求。

 

经过测试,在IE8,FF3.6-FF4.0中,均不会带有Referer信息,但是chrome却能够鬼使神差的把b.html作为Referer添加进头部。

 

 

 

 

5
0
分享到:
评论

相关推荐

    JavaScript中的document.referrer在各种浏览器测试结果

    文档引用(`document.referrer`)是JavaScript中用于获取当前页面加载前的源页面URL的一个属性。这个属性对于跟踪用户导航路径,分析流量来源等用途非常重要。然而,`document.referrer`的行为在不同浏览器之间可能...

    javascript document.referrer 用法

    `document.referrer` 是 JavaScript 中的一个属性,它用于获取当前页面的来源页面的 URL,即用户是如何导航到当前页面的。这个属性对于了解用户的行为路径、统计分析、安全验证等场景非常有用。在给定的例子中,我们...

    javascript的document.referrer浏览器支持、失效情况总结

    虽然Traffic source有很多种,不过不幸的是依据现在JS,获得Traffic source的途径只有两种——document.referrer、window.opener.更不幸的是,window.opener适用的场景不多,而document.referrer非常的弱,以至于很...

    IE下document.referrer 拒绝访问的解决方法

    在探讨IE浏览器下document.referrer拒绝访问的解决方法之前,我们首先要了解document.referrer这个属性。在Web开发中,document.referrer是用来获取页面跳转来源的URL,即用户点击某个链接或提交表单之后所跳转到...

    Javascript中document.referrer隐藏来源的方法

    document.referrer属性可以让我们在JavaScript代码中获取到这个信息。本文将详细介绍如何在JavaScript中隐藏document.referrer,防止敏感信息泄漏。 首先,document.referrer属性的作用是返回载入当前文档的文档的...

    JavaScript中document.referrer的用法详解

    在JavaScript中,`document.referrer` 是一个非常实用的属性,它用于获取当前页面加载时的来源URL,也就是用户从哪个页面点击链接进入当前页面的URL。这个属性在很多场景下都有其独特的应用价值,特别是在网页分析、...

    js中document.referrer实现移动端返回上一页

    在这篇文章中,我们将要介绍如何通过javascript中的document.referrer属性来实现移动端返回上一页的功能,并探讨了其相关的使用方法、兼容性问题以及在特定场景下无法获取referrer信息的情况。 首先,document....

    JavaScript获得当前网页来源页面(即上一页)的方法

    下面的JS代码通过document.referrer获得来源页面地址 &lt;!DOCTYPE html&gt; &lt;html&gt; &lt;body&gt; The referrer of this document is: [removed] [removed](document.referrer); [removed] &lt;/body&gt; &lt;/...

    Javascript document.referrer判断访客来源网址

    JavaScript中的`document.referrer`属性是一个非常实用的功能,它能够帮助开发者获取当前页面的来源URL,即用户在访问当前页面之前所浏览的页面地址。这个属性在多种场景下都有着广泛的应用,比如分析用户行为、实施...

    js实现ifram取父窗口URL地址的方法

    url = window.parent.document.referrer; // 尝试获取parent窗口的document.referrer } catch (L) { url = ""; // 如果获取失败,则置为空 } } } if (url === "") { url = document.referrer; // 如果以上方法...

    javascript经典特效---检测页面来源.rar

    在JavaScript中,我们可以使用`document.referrer`属性来获取当前页面的来源URL。`document.referrer`表示的是用户从哪个页面点击链接进入到当前页面的URL。如果用户直接在浏览器地址栏输入URL或者通过书签访问,`...

    js判断用户是输入的地址请求的路径(实例讲解)

    这通常涉及到对`document.referrer`属性的检查,因为这个属性可以提供前一个页面的URL,即用户是从哪个页面跳转过来的。然而,当用户直接在地址栏输入URL或者通过书签访问时,`document.referrer`通常为空。 在给出...

    access-data-parser:该模块将接收`document.referrer`和一些查询参数,以确定访问来自何处

    该模块将接收document.referrer和一些查询参数,以确定访问来自何处。 安装 yarn add access-data-parser 用法 const AccessData = require ( "access-data-parser" ) ; const queriesFromBrowser = { utm_source ...

Global site tag (gtag.js) - Google Analytics