referrer policy

我们知道,在页面引入图片、JS 等资源,或者从一个页面跳到另一个页面,都会产生新的 HTTP 请求,浏览器一般都会给这些请求头加上表示来源的 Referrer 字段。Referrer 在分析用户来源时很有用,有着广泛的使用。但 URL 可能包含用户敏感信息,如果被第三方网站拿到很不安全(例如之前不少 Wap 站把用户 SESSION ID 放在 URL 中传递,第三方拿到 URL 就可以看到别人登录后的页面)。之前浏览器会按自己的默认规则来决定是否加上 Referrer。

通过新的 Referrer Policy,我们可以针对第三方网站隐藏 Referrer,也可以只发送来源 URL 的 host 部分。但有一点要记住,新策略允许沉默,但不允许说谎。换句话说,你有权不告诉对方请求从哪儿来,但是不允许用假来源去骗人。不过即便是这样,这也对现有一些 Web 应用程序的安全性造成威胁。不少 Web 应用在限制 Referrer 时允许为空,之前想要发送无 Referrer 请求还要一点点技巧,现在就轻而易举了。

原文地址:https://www.cnblogs.com/tuosir/p/9161636.html

时间: 2024-07-31 13:00:33

referrer policy的相关文章

Referrer Policy 介绍

发布于 署名 4.0 国际 (CC BY 4.0) 原文链接:https://caixw.io/posts/2017/referrer-policy.html 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息.但是也有成为用户的一个不安全因素,比如有些网站直接将 sessionid 或是 token 放在地址栏里传递的,会原样不动地当作 Referr

HTTP系列之Referer和Referrer policy简介

目录 @ 1.前言摘要 在csdn网站随便抓个链接来看看: Referer参数: referrer policy是unsafe url的,ok,下面介绍一下Referer和referrer policy 2.Referer简介 referer参数是http请求头header里的一个关键参数,表示的意思是链接的来源地址,比如在页面引入图片.JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer 3.Referer安全性 Referer这个http header的参数应用得当的话,是可以

关于 OpenIdConnect 认证启用 HTTPS 回调 RedirectUri 不生效问题

在搭建 IdentityServer 服务端后,我们尝试使用了 OIDC(OpenID Connect) 协议来代替了原先的 Session 系统认证方式,起初采用的是 HTTP 协议,一切都没有什么问题,最近启用全站 HTTPS 后,发现登陆会跳转到 HTTP的页面, OpenID Connect 认证流程 第一步: 请求构造授权页 Request URL:https://sso.xxx.cn/connect/authorize?client_id=10000005&redirect_uri=

django学习----http协议

了解http协议的格式 请求协议:request 请求首行:包含请求方式(如get.post) url 协议版本 请求头:请求信息 空行: 请求数据:与网页内容相关的信息 get与post的区别: 在数据上get请求数据不会在请求体中它会放在URL后面,并且数据量有限制 post没有数据限制{表单:调整method="post"} 在地址栏直接给出地址的一定是get请求{地址栏请求,表单(默认)} 1.Host 请求的web服务器域名地址 2.User-Agent HTTP客户端运行的

http头部信息详解

打开一个网页(以淘宝网站为例)就会出现相对应的内容,这些内容是通过怎么样的方式展现在我们的面前呢?我们可以通过查看网页的http头部信息来获取相关的内容,如HTTP的请求报文与响应报文等,如下所示 1.General: Request URL:https://img.alicdn.com/tfs/TB1qfbtawMPMeJjy1XcXXXpppXa-160-56.gif ##请求的资源,可以是相对路径,也可以是完整的URL Request Method:GET ##请求方法,希望服务器端执行的

python爬取网易云周杰伦所有专辑,歌曲,评论,并完成可视化分析

---恢复内容开始--- 去年在网络上有一篇文章特别有名:我分析42万字的歌词,为搞清楚民谣歌手们在唱些什么.这篇文章的作者是我大学的室友,随后网络上出现了各种以为爬取了XXX,发现了XXX为名的文章.我想了想,我能不能也通过爬虫来做些什么呢?先入为主,我也以歌曲作为切入口---周杰伦,是的,我们这一代的生活成长,总是离不开周董的声音的陪伴,那我就来爬取周董的歌曲,歌曲评论,歌词,以及各种有用的信息并做一个可视化吧. 这篇文章适合于python纯小白,因为本人也是python刚刚入门,里面可能很

浏览器开发者工具network详解

General概诉 请求链接 Request URL: 请求方式 Request Method: 代码状态 Status Code: 远程地址 Remote Address: 引用协议 用于过滤 Referrer 报头内容,目前是一个候选标准,不过已经有部分浏览器支持该标准. Referrer Policy:   Response Headers响应包头 接受范围 Accept-Ranges: 时限 Age: 缓存控制 Cache-Control: 链接状态 Connection: 内容长度 C

五、HTTP基本原理

一.URL和URI URI:统一资源标识符 URL:统一资源定位符 百度首页的图标连接 https://www.baidu.com/img/bd_logo1.png 它是一个URL,也是一个URI,包括了访问协议.访问路径和资源名 URL是URI的子集,每个URL都是URI,但不是每个URI都是URL,URI还包括一个子集URN,为统一资源名称,URN只命名资源但是不指定如何定位资源 二.超文本 浏览器里看到的网页就是超文本解析而成的,源代码就是一系列HTML代码 三.HTTP和HTTPS 这是

http协议组成(请求状态码)

http请求由:请求行:消息报头:请求正文组成 //请求行 Request URL: http://172.32.4.33:8080/operation/v2/autoServer/queryAutoServer.htm         //请求地址 Request Method: POST                                                             //请求方式 Status Code: 200 OK