Referrer Policy 介绍

当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,会原样不动地当作 Referrer 报头的内容传递给第三方网站。

所以就有了 Referrer Policy,用于过滤 Referrer 报头内容,目前是一个候选标准,不过已经有部分浏览器支持该标准。具体的可查看这里。

指令值

目前包含了以下几种指令值:

enum ReferrerPolicy {

"",

"no-referrer",

"no-referrer-when-downgrade",

"same-origin",

"origin",

"strict-origin",

"origin-when-cross-origin",

"strict-origin-when-cross-origin",

"unsafe-url"

};

空字符串

按照浏览器的默认值执行。默认值为 no-referrer-when-downgrade。部分标签可重定义此安全策略。

no-referrer

从字面意思就可以理解,不传递 Referrer 报头的值。

no-referrer-when-downgrade

当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com?token=123

http://example.com?token=123 http://example.com/path http://example.com?token=123

https//example.com http://example.com/path 无(协议降级)

http://example.com?token=123 https://example.com/path http://example.com?token=123

same-origin

同源,即当协议、域名和端口(如果有一方指定的话)都相同,才会传递 Referrer。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com?token=123

http://example.com?token=123 http://example.com/path http://example.com?token=123

https//example.com http://example.com/path 无(协议不同)

http://example.com?token=123 https://example.com/path 无(协议不同)

http://example.com?token=123 http://example.com:88/path 无(端口不同)

https://example.com?token=123 https://caixw.io 无(域名不同)

origin

将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com

http://example.com?token=123 https://example.com/path http://example.com

https://example.com?token=123 https://caixw.io https://example.com

strict-origin

类似于 origin,但是不能降级。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com

http://example.com?token=123 https://example.com/path http://example.com

http://example.com?token=123 http://caixw.io http://example.com

https://example.com?token=123 http://caixw.io 无

origin-when-cross-origin

跨域时(协议、域名和端口只有一个不同)和 origin 模式相同,否则 Referrer 还是传递当前页的全路径。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com?token=123

http://example.com?token=123 https://example.com/path http://example.com?token=123

http://example.com?token=123 http://caixw.io http://example.com

strict-origin-when-cross-origin

与 origin-when-cross-origin 类似,但不能降级。

原地址 跳转地址 Referrer

https://example.com?token=123 https://example.com/path https://example.com?token=123

https://example.com?token=123 https://caixw.io https://example.com

https://example.com?token=123 http://example.com/path 无

https://example.com?token=123 http://example.com/ 无

unsafe-url

任意情况下,都发送当前页的全部地址到 Referrer,最宽松和不安全的策略。

传递方式

Referrer-Policy 报头

推荐的方式,直接在 Referrer-Policy 报头中设置。

Referrer-Policy: origin;

Meta

通过指定 name 值为 referrer 的 meta 标签,也可以达到相同的效果:

content 可以是上面的指定的值,也可以是下面这几种旧的指令值,会自动作相应的转换,但不推荐这些旧的指令值:

Legacy Referrer

never no-referrer

default no-referrer-when-downgrade

always unsafe-url

origin-when-crossorigin origin-when-cross-origin

标签属性

a 和 link 标签可以通过属性 rel 指定 noreferrer,仅对当前链接有效;

a、area、link、iframe 和 img 还可以通过 referrerpolicy 指定仅针对当前链接的设置。

参考

Referrer Policy

Referrer-Policy

浏览器的同源策略

Referrer Policy 介绍

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 105,319评论 12 126
  • afinalAfinal是一个android的ioc,orm框架 https://github.com/yangf...
    passiontim阅读 10,798评论 2 43
  • 现在的我在返程的车上,C2808,由郑州东开往宋城路,现在的时间是1:20,车票是超哥订的,地铁票也是超哥买的。现...
    我淑阅读 269评论 25 12
  • (1) 两个月前,第一天到达布鲁塞尔的时候,是晋哥来接的我们。 晋哥是比利时的华裔,上了大学才学的中文,不过已经说...
    嘿嘿皮卡秋阅读 105评论 0 2
  • 只有专一,不要想太多,才能够集中精力,才能够认真完成一件事。既然选择考研,其他的就不要再想了,精力有限,有得必有失。
    小曹头阅读 21评论 0 0