用于过滤 Referrer 报头内容,目前是一个候选标准。
取值范围:
enum ReferrerPolicy {
"",
"no-referrer",
"no-referrer-when-downgrade",
"same-origin",
"origin",
"strict-origin",
"origin-when-cross-origin",
"strict-origin-when-cross-origin",
"unsafe-url"
};
空字符串
按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。
no-referrer
从字面意思就可以理解,不传递 Referrer 报头的值。
no-referrer-when-downgrade
当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | http://example.com/path | http://example.com?token=123 |
https//example.com | http://example.com/path | 无(协议降级) |
http://example.com?token=123 | https://example.com/path | http://example.com?token=123 |
same-origin
同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | http://example.com/path | http://example.com?token=123 |
https//example.com | http://example.com/path | 无(协议不同) |
http://example.com?token=123 | https://example.com/path | 无(协议不同) |
http://example.com?token=123 | http://example.com:88/path | 无(端口不同) |
https://example.com?token=123 | https://caixw.io | 无(域名不同) |
origin
将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。
https://example.com?token=123 | https://example.com/path | https://example.com |
http://example.com?token=123 | https://example.com/path | http://example.com |
https://example.com?token=123 | https://caixw.io | https://example.com |
strict-origin
类似于 origin,但是不能降级。
https://example.com?token=123 | https://example.com/path | https://example.com |
http://example.com?token=123 | https://example.com/path | http://example.com |
http://example.com?token=123 | http://caixw.io | http://example.com |
https://example.com?token=123 | http://caixw.io | 无 |
origin-when-cross-origin
跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
http://example.com?token=123 | https://example.com/path | http://example.com?token=123 |
http://example.com?token=123 | http://caixw.io | http://example.com |
strict-origin-when-cross-origin
与 origin-when-cross-origin 类似,但不能降级。
https://example.com?token=123 | https://example.com/path | https://example.com?token=123 |
https://example.com?token=123 | https://caixw.io | https://example.com |
https://example.com?token=123 | http://example.com/path | 无 |
https://example.com?token=123 | http://example.com/ | 无 |
unsafe-url
任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。
传递方式
Referrer-Policy 报头
推荐的方式,直接在 Referrer-Policy 报头中设置。
Referrer-Policy: origin;
相关推荐
随着Web技术的发展,跨域安全问题愈发突出,"Referrer-Policy : strict-origin-when-cross-origin"便是为了解决这一问题而提出的策略。本文将深入探讨这个策略的含义、作用以及如何在实际开发中应用。 一、Referrer...
安装通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法const fastify = require ( 'fastify' ) ;const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ;...
### Tomcat的安全方面设置与简单配置过程说明 在IT领域,服务器的安全性是至关重要的,尤其是在Web应用服务器中。Apache Tomcat作为一款广泛使用的开源Java Servlet容器,其安全性配置成为了许多开发者关注的重点。...
"WebAppSec-referrer-policy" 指的是 Web 应用安全(Web Application Security,简称 WebAppSec)中关于 Referrer Policy 的一个推荐标准或规范。Referrer Policy 是一种用来控制浏览器在请求资源时如何发送 ...
四、rel属性 五、Referrer Policy 的值 六、Referrer Policy 的用法 七、退出页面重定向
5. **referrer policy控制**:Referrer信息可能泄露用户的浏览历史,Flask-Talisman可以设定合适的referrer policy,限制或禁用referrer信息的传递。 **安装与使用Flask-Talisman** 安装`flask_talisman`库,你...
问题 在之前的分享的跨域资源共享的文章中,有提到要注意跨域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题...
- **选项 E 错误**:默认的 Referrer-Policy 不是 `no-referrer-one-downgrade`,而是 `no-referrer-when-downgrade`。 ### 9. CSS 选择器特殊性 - **CSS 选择器的特殊性**:CSS 选择器有不同的权重等级,这决定了...
通常,防盗链策略包括设置HTTP头部的`Referrer Policy`,检查HTTP请求头中的`Referer`字段,如果来源不是预期的站点,服务器就会拒绝响应。另外,还可以通过设置Access-Control-Allow-Origin或者使用Token机制来实现...
- 防御方法:使用CSRF令牌,验证请求来源,以及设置HTTP头的Referrer Policy。 5. **认证与会话管理** - 用户身份验证:密码策略,多因素认证,以及使用哈希和加盐来保护密码。 - 会话管理:会话ID的安全生成,...
2. **首部**:包含了请求或响应的相关信息,如Referrer Policy用于控制来源信息的发送,Accept指定客户端接受的数据格式,User-Agent标识客户端信息,Server揭示服务器环境等。 3. **主体**:可选部分,包含请求的...
这可能包括对上传文件的类型检查、大小限制,以及使用防盗链技术,例如设置HTTP头的`Referrer Policy`,或者通过验证请求中的令牌来防止非法访问。 6. **用户认证与授权**:如果该系统支持用户登录,那么会涉及用户...
- **Referrer Policy**: 控制referrer信息的传递策略。 - **Accept**: 指明客户端可接受的内容类型。 - **Accept-Encoding**: 指明客户端可接受的压缩编码方式。 - **Accept-Language**: 指明客户端可接受的语言。 -...
This struct holds a referrer URL, as well as the referrer policy to be applied to this URL. When passing around referrers that will eventually end up being used for URL requests, always use this ...
在互联网上,一些网站为了防止其他站点未经许可直接引用或下载他们的资源,比如图片、视频等,会实施一种称为“防盗链”的策略。...当用户从一个外部链接访问网站资源时,浏览器通常会在请求头中携带`Referer`字段,...
主要介绍了利用Nginx处理Vue开发环境的跨域的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
8. **`helmet.referrerPolicy()`**: 控制Referrer Policy头部,管理浏览器发送referrer信息的行为,保护用户隐私和安全。 在使用Helmet.js时,开发者需要根据自己的应用需求选择合适的中间件,并进行适当的配置。...
例如,使用fetch API或XMLHttpRequest时,需要设置请求头的"Referrer Policy",以控制信息的泄露。同时,确保所有敏感数据,如密码和API密钥,都在服务器端处理,避免在客户端明文存储。 在项目部署时,要检查并...
<a href="https://www.example.com" referrer-policy="no-referrer">No Referrer Link ``` 需要注意的是,虽然这些方法可以减少`referrer`信息的泄露,但它们并非万无一失。某些浏览器或安全设置可能会限制这些...
以下是可用功能的列表: 严格传输安全标头内容安全策略标头X-Frame-Options标头X-Xss保护X-Content-Type-Options标头Referrer-Policy标头功能策略标头security.txt文件生成去做 使用OpenPGP签署security.txt 标头...