昆明噬撼电子有限公司

行業(yè)分享 2019-05-31 網(wǎng)站 Referer meta標(biāo)簽

如何給網(wǎng)站添加Referer驗證

本文描述了一個關(guān)于 http 協(xié)議中 referer 的 metadata 參數(shù)的提議,使用這個 metadata 參數(shù),html 文檔可以控制 http 請求中的 referer ,比如是否發(fā)送 referer、只發(fā)送 hostname 還是發(fā)送完整的 referer 等。雖然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。

使用場景

在某些情況下,出于一些原因,網(wǎng)站想要控制頁面發(fā)送給 server 的 referer 信息的情況下,可以使用這一 referer metadata 參數(shù)。

隱私

社交網(wǎng)站一般都會有用戶個人頁面,這些頁面中用戶都有可能添加一些外網(wǎng)的鏈接,而社交網(wǎng)站有可能不希望在用戶點擊了這些鏈接的時候,泄露用戶頁面的 URL ,因為這些 URL 中可能包含一些敏感信息。當(dāng)然,有些社交網(wǎng)站可能只想在 referer 中提供一個 hostname,而不是完整的 URL 信息。

安全

有些使用了 https 的網(wǎng)站,可能在 URL 中使用一個參數(shù)(sid 等)來作為用戶身份憑證,而又需要引入其他 https 網(wǎng)站的資源,這種情況下,網(wǎng)站肯定不希望泄露用戶的身份憑證信息。

Object-Capability Discipline

有些網(wǎng)站遵循Object-Capability Discipline,而 referer 剛好與這一策略相悖,所以,網(wǎng)站能夠控制 refeer 將對 Object-Capability Discipline 很有利。

技術(shù)細(xì)節(jié)

referer 的 metedata 參數(shù)可以設(shè)置為以下幾種類型的值:

neveralwaysorigindefault

如果在文檔中插入 meta 標(biāo)簽,并且 name 屬性的值為 referer,瀏覽器客戶端將按照如下步驟處理這個標(biāo)簽:

1.如果 meta 標(biāo)簽中沒有 content 屬性,則終止下面所有操作2.將 content 的值復(fù)制給 referrer-policy ,并轉(zhuǎn)換為小寫3.檢查 content 的值是否為上面 list 中的一個,如果不是,則將值置為 default

上述步驟之后,瀏覽器后續(xù)發(fā)起 http 請求的時候,會按照 content 的值,做出如下反應(yīng)(下面 referer-policy 的值即 meta 標(biāo)簽中 content 的值):

1.如果 referer-policy 的值為never:刪除 http head 中的 referer;2.如果 referer-policy 的值為default:如果當(dāng)前頁面使用的是 https 協(xié)議,而正要加載的資源使用的是普通的 http 協(xié)議,則將 http header 中的 referer 置為空;3.如果 referer-policy 的值為 origin:只發(fā)送 origin 部分;4.如果 referer-policy 的值為 always:不改變http header 中的 referer 的值,注意:這種情況下,如果當(dāng)前頁面使用了 https 協(xié)議,而要加載的資源使用的是 http 協(xié)議,加載資源的請求頭中也會攜帶 referer。

例子

如果頁面中包含了如下 meta 標(biāo)簽,所有從當(dāng)前頁面中發(fā)起的請求將不會攜帶 referer:

<meta name="referrer" content="never">

如果頁面中包含了如下 meta 標(biāo)簽,則從當(dāng)前頁面中發(fā)起的 http請求將只攜帶 origin 部分(注:根據(jù)原文中的語境,我理解這里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分),而不是完整的 URL :

<meta name="referrer" content="origin">

注意:在使用本文中所述的 meta 標(biāo)簽的時候,瀏覽器原有的 referer 策略將被打破,比如從 http 協(xié)議的頁面跳轉(zhuǎn)到 https 的頁面的時候,如果設(shè)置了適當(dāng)?shù)闹担矔y帶 referer。

其他問題

這與 rel=noreferer 有什么關(guān)系呢?可能 rel=noreferer 會覆蓋掉本文中的 meta 標(biāo)簽所設(shè)置的值。也就是功能覆蓋。 
origin 信息不是一個完整的 url,所以瀏覽器客戶端估計會在 origin 后面加一個 / 來作為 path 部分。 
如果 origin 是唯一的,會發(fā)生什么情況呢?估計 referer 會被忽略。

原文:點擊這里

下一篇 網(wǎng)站建設(shè)企業(yè)一般都提供什么服務(wù)

最新案例 查看更多

查看 
江西省| 隆德县| 定西市| 商城县| 青河县| 保亭| 泾源县| 赤水市| 峨眉山市| 黄冈市| 温州市| 乌什县| 浠水县| 克什克腾旗| 宜阳县| 固安县| 济南市| 百色市| 隆化县| 鄢陵县| 新兴县| 甘泉县| 克拉玛依市| 安徽省| 新宁县| 宁南县| 玉林市| 布拖县| 安仁县| 梅州市| 大余县| 胶南市| 涞水县| 师宗县| 德格县| 老河口市| 安远县| 娱乐| 平顶山市| 霍州市| 甘洛县|