`

Referrer Policy

    博客分类:
  • http
 
阅读更多

用于过滤 Referrer 报头内容,目前是一个候选标准。

取值范围:

enum ReferrerPolicy {

  "",

  "no-referrer",

  "no-referrer-when-downgrade",

  "same-origin",

  "origin",

  "strict-origin",

  "origin-when-cross-origin",

  "strict-origin-when-cross-origin",

  "unsafe-url"

 

};

 

空字符串

按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。

 

no-referrer

从字面意思就可以理解,不传递 Referrer 报头的值。

no-referrer-when-downgrade

当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 http://example.com/path http://example.com?token=123
https//example.com http://example.com/path 无(协议降级)
http://example.com?token=123 https://example.com/path http://example.com?token=123

same-origin

同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 http://example.com/path http://example.com?token=123
https//example.com http://example.com/path 无(协议不同)
http://example.com?token=123 https://example.com/path 无(协议不同)
http://example.com?token=123 http://example.com:88/path 无(端口不同)
https://example.com?token=123 https://caixw.io 无(域名不同)

origin

将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com
http://example.com?token=123 https://example.com/path http://example.com
https://example.com?token=123 https://caixw.io https://example.com

strict-origin

类似于 origin,但是不能降级。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com
http://example.com?token=123 https://example.com/path http://example.com
http://example.com?token=123 http://caixw.io http://example.com
https://example.com?token=123 http://caixw.io

origin-when-cross-origin

跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
http://example.com?token=123 https://example.com/path http://example.com?token=123
http://example.com?token=123 http://caixw.io http://example.com

strict-origin-when-cross-origin

与 origin-when-cross-origin 类似,但不能降级。

原地址 跳转地址 Referrer
https://example.com?token=123 https://example.com/path https://example.com?token=123
https://example.com?token=123 https://caixw.io https://example.com
https://example.com?token=123 http://example.com/path
https://example.com?token=123 http://example.com/

unsafe-url

任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。

传递方式

Referrer-Policy 报头

推荐的方式,直接在 Referrer-Policy 报头中设置。

Referrer-Policy: origin;

 

分享到:
评论

相关推荐

    Referrer-Policy : strict-origin-when-cross-origin解决方案

    随着Web技术的发展,跨域安全问题愈发突出,"Referrer-Policy : strict-origin-when-cross-origin"便是为了解决这一问题而提出的策略。本文将深入探讨这个策略的含义、作用以及如何在实际开发中应用。 一、Referrer...

    fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头

    安装通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法const fastify = require ( 'fastify' ) ;const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ;...

    Tomcat 的安全方面设置 简单配置过程 说明

    ### Tomcat的安全方面设置与简单配置过程说明 在IT领域,服务器的安全性是至关重要的,尤其是在Web应用服务器中。Apache Tomcat作为一款广泛使用的开源Java Servlet容器,其安全性配置成为了许多开发者关注的重点。...

    webappsec-referrer-policy:WebAppSec推荐人政策

    "WebAppSec-referrer-policy" 指的是 Web 应用安全(Web Application Security,简称 WebAppSec)中关于 Referrer Policy 的一个推荐标准或规范。Referrer Policy 是一种用来控制浏览器在请求资源时如何发送 ...

    ruanyf#articles#2019-06-04-HTTP Referer 教程1

    四、rel属性 五、Referrer Policy 的值 六、Referrer Policy 的用法 七、退出页面重定向

    Python库 | flask_talisman_rdil-0.9.8-py3-none-any.whl

    5. **referrer policy控制**:Referrer信息可能泄露用户的浏览历史,Flask-Talisman可以设定合适的referrer policy,限制或禁用referrer信息的传递。 **安装与使用Flask-Talisman** 安装`flask_talisman`库,你...

    利用Nginx反向代理解决跨域问题详解

    问题 在之前的分享的跨域资源共享的文章中,有提到要注意跨域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题...

    前端大师-高级Web开发测验

    - **选项 E 错误**:默认的 Referrer-Policy 不是 `no-referrer-one-downgrade`,而是 `no-referrer-when-downgrade`。 ### 9. CSS 选择器特殊性 - **CSS 选择器的特殊性**:CSS 选择器有不同的权重等级,这决定了...

    站长 自执行函数表达式和百度防盗站

    通常,防盗链策略包括设置HTTP头部的`Referrer Policy`,检查HTTP请求头中的`Referer`字段,如果来源不是预期的站点,服务器就会拒绝响应。另外,还可以通过设置Access-Control-Allow-Origin或者使用Token机制来实现...

    web开发安全技术培训教程.rar

    - 防御方法:使用CSRF令牌,验证请求来源,以及设置HTTP头的Referrer Policy。 5. **认证与会话管理** - 用户身份验证:密码策略,多因素认证,以及使用哈希和加盐来保护密码。 - 会话管理:会话ID的安全生成,...

    web应用安全与加速课程讲义.pdf

    2. **首部**:包含了请求或响应的相关信息,如Referrer Policy用于控制来源信息的发送,Accept指定客户端接受的数据格式,User-Agent标识客户端信息,Server揭示服务器环境等。 3. **主体**:可选部分,包含请求的...

    PHP实例开发源码-蓝梦文件外链系统 php版 v1.0.zip

    这可能包括对上传文件的类型检查、大小限制,以及使用防盗链技术,例如设置HTTP头的`Referrer Policy`,或者通过验证请求中的令牌来防止非法访问。 6. **用户认证与授权**:如果该系统支持用户登录,那么会涉及用户...

    爬虫开发网络基础知识.docx

    - **Referrer Policy**: 控制referrer信息的传递策略。 - **Accept**: 指明客户端可接受的内容类型。 - **Accept-Encoding**: 指明客户端可接受的压缩编码方式。 - **Accept-Language**: 指明客户端可接受的语言。 -...

    nvram.rar_Always

    This struct holds a referrer URL, as well as the referrer policy to be applied to this URL. When passing around referrers that will eventually end up being used for URL requests, always use this ...

    Java 通过设置Referer反盗链

    在互联网上,一些网站为了防止其他站点未经许可直接引用或下载他们的资源,比如图片、视频等,会实施一种称为“防盗链”的策略。...当用户从一个外部链接访问网站资源时,浏览器通常会在请求头中携带`Referer`字段,...

    利用Nginx处理Vue开发环境的跨域的方法

    主要介绍了利用Nginx处理Vue开发环境的跨域的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

    头盔

    8. **`helmet.referrerPolicy()`**: 控制Referrer Policy头部,管理浏览器发送referrer信息的行为,保护用户隐私和安全。 在使用Helmet.js时,开发者需要根据自己的应用需求选择合适的中间件,并进行适当的配置。...

    practice:project project这个项目是使用https制作的

    例如,使用fetch API或XMLHttpRequest时,需要设置请求头的"Referrer Policy",以控制信息的泄露。同时,确保所有敏感数据,如密码和API密钥,都在服务器端处理,避免在客户端明文存储。 在项目部署时,要检查并...

    Javascript中document.referrer隐藏来源的方法

    <a href="https://www.example.com" referrer-policy="no-referrer">No Referrer Link ``` 需要注意的是,虽然这些方法可以减少`referrer`信息的泄露,但它们并非万无一失。某些浏览器或安全设置可能会限制这些...

    nuxt-security:Nuxt.js的模块,用于配置安全标头等

    以下是可用功能的列表: 严格传输安全标头内容安全策略标头X-Frame-Options标头X-Xss保护X-Content-Type-Options标头Referrer-Policy标头功能策略标头security.txt文件生成去做 使用OpenPGP签署security.txt 标头...

Global site tag (gtag.js) - Google Analytics