美文网首页
Referrer Policy 介绍

Referrer Policy 介绍

作者: 秀萝卜 | 来源:发表于2020-10-13 09:36 被阅读0次

    当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,会原样不动地当作 Referrer 报头的内容传递给第三方网站。

    所以就有了 Referrer Policy,用于过滤 Referrer 报头内容,<time datetime="2017-08-10">目前</time>是一个候选标准,不过已经有部分浏览器支持该标准。具体的可查看这里

    指令值

    目前包含了以下几种指令值:

    enum ReferrerPolicy {
      "",
      "no-referrer",
      "no-referrer-when-downgrade",
      "same-origin",
      "origin",
      "strict-origin",
      "origin-when-cross-origin",
      "strict-origin-when-cross-origin",
      "unsafe-url"
    };
    
    

    空字符串

    按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。

    no-referrer

    从字面意思就可以理解,不传递 Referrer 报头的值。

    no-referrer-when-downgrade

    当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com?token=123
    http://example.com?token=123 http://example.com/path http://example.com?token=123
    https//example.com http://example.com/path 无(协议降级)
    http://example.com?token=123 https://example.com/path http://example.com?token=123

    same-origin

    同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com?token=123
    http://example.com?token=123 http://example.com/path http://example.com?token=123
    https//example.com http://example.com/path 无(协议不同)
    http://example.com?token=123 https://example.com/path 无(协议不同)
    http://example.com?token=123 http://example.com:88/path 无(端口不同)
    https://example.com?token=123 https://caixw.io 无(域名不同)

    origin

    将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com
    http://example.com?token=123 https://example.com/path http://example.com
    https://example.com?token=123 https://caixw.io https://example.com

    strict-origin

    类似于 origin,但是不能降级。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com
    http://example.com?token=123 https://example.com/path http://example.com
    http://example.com?token=123 http://caixw.io http://example.com
    https://example.com?token=123 http://caixw.io

    origin-when-cross-origin

    跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com?token=123
    http://example.com?token=123 https://example.com/path http://example.com?token=123
    http://example.com?token=123 http://caixw.io http://example.com

    strict-origin-when-cross-origin

    origin-when-cross-origin 类似,但不能降级。

    原地址 跳转地址 Referrer
    https://example.com?token=123 https://example.com/path https://example.com?token=123
    https://example.com?token=123 https://caixw.io https://example.com
    https://example.com?token=123 http://example.com/path
    https://example.com?token=123 http://example.com/

    unsafe-url

    任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。

    传递方式

    Referrer-Policy 报头

    推荐的方式,直接在 Referrer-Policy 报头中设置。

    Referrer-Policy: origin;
    
    

    Meta

    通过指定 name 值为 referrer 的 meta 标签,也可以达到相同的效果:

    <meta name="referrer" content="strict-origin" />
    
    

    content 可以是上面的指定的值,也可以是下面这几种旧的指令值,会自动作相应的转换,但不推荐这些旧的指令值:

    Legacy Referrer
    never no-referrer
    default no-referrer-when-downgrade
    always unsafe-url
    origin-when-crossorigin origin-when-cross-origin

    标签属性

    • alink 标签可以通过属性 rel 指定 noreferrer,仅对当前链接有效;
    • aarealinkiframeimg 还可以通过 referrerpolicy 指定仅针对当前链接的设置。

    参考

    <cite>Referrer Policy</cite>

    <cite>Referrer-Policy</cite>

    <cite>浏览器的同源策略</cite>

    相关文章

      网友评论

          本文标题:Referrer Policy 介绍

          本文链接:https://www.haomeiwen.com/subject/lbnmpktx.html