美文网首页
2018-12-26 http请求头中的Referer字段

2018-12-26 http请求头中的Referer字段

作者: KingAmo | 来源:发表于2018-12-26 15:22 被阅读0次

1.Referer

浏览器会给http请求的请求头Header加上表示来源的 Referer 字段,例如在a网站www.aaa.com上点击一个链接跳转到b网站www.bbb.com,那么访问b网站的http请求的请求头中的Referer字段的值就是www.aaa.com,在javascript中可以通过document.referrer来获取这个值。在浏览器开发者工具中,可以在console中输入document.referrer,打印出这个值,也可以network面板中的Request Headers中找到Referer字段的值。

HTTP header 错误地把它拼写成了 Referer(少了一个r)。。。 其他地方都是正确的单词referrer

2.Referrer Policy

但是Referer也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,Referer会原样不动地把地址传递给第三方网站,所以http请求头中就有了 Referrer Policy字段,作为 Referrer 字段的安全策略。通过 Referrer Policy,我们可以针对第三方网站隐藏 Referrer,也可以只发送来源 URL 的 host 部分。

Referrer Policy的可用值有一下几种:

enum ReferrerPolicy {
  "",// 按照浏览器的默认值执行,默认值为 no-referrer-when-downgrade
  "no-referrer", // 不传递 Referrer 报头的值
  "no-referrer-when-downgrade", //当发生降级(比如从 https跳转到 http)时,不传递 Referrer,浏览器的默认安全策略
  "same-origin", //同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer
  "origin", //将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer
  "strict-origin", //类似于 origin,但是不能降级
  "origin-when-cross-origin", //跨域时和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。
  "strict-origin-when-cross-origin", //与 origin-when-cross-origin 类似,但不能降级
  "unsafe-url" //任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略
};

相关文章

网友评论

      本文标题:2018-12-26 http请求头中的Referer字段

      本文链接:https://www.haomeiwen.com/subject/vymhlqtx.html