讓https網(wǎng)站發(fā)送 referrer https 與 http 跳轉(zhuǎn) referer 的問(wèn)題

本文描述了一個(gè)關(guān)于 http 協(xié)議中 referer 的 metadata 參數(shù)的提議,使用這個(gè) metadata 參數(shù),html 文檔可以控制 http 請(qǐng)求中的 referer ,比如是否發(fā)送 referer、只發(fā)送 hostname 還是發(fā)送完整的 referer 等。雖然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。
使用場(chǎng)景
在某些情況下,出于一些原因,網(wǎng)站想要控制頁(yè)面發(fā)送給 server 的 referer 信息的情況下,可以使用這一 referer metadata 參數(shù)。
隱私
社交網(wǎng)站一般都會(huì)有用戶(hù)個(gè)人頁(yè)面,這些頁(yè)面中用戶(hù)都有可能添加一些外網(wǎng)的鏈接,而社交網(wǎng)站有可能不希望在用戶(hù)點(diǎn)擊了這些鏈接的時(shí)候,泄露用戶(hù)頁(yè)面的 URL ,因?yàn)檫@些 URL 中可能包含一些敏感信息。當(dāng)然,有些社交網(wǎng)站可能只想在 referer 中提供一個(gè) hostname,而不是完整的 URL 信息。
安全
有些使用了 https 的網(wǎng)站,可能在 URL 中使用一個(gè)參數(shù)(sid 等)來(lái)作為用戶(hù)身份憑證,而又需要引入其他 https 網(wǎng)站的資源,這種情況下,網(wǎng)站肯定不希望泄露用戶(hù)的身份憑證信息。
Object-Capability Discipline
有些網(wǎng)站遵循Object-Capability Discipline,而 referer 剛好與這一策略相悖,所以,網(wǎng)站能夠控制 refeer 將對(duì) Object-Capability Discipline 很有利。
技術(shù)細(xì)節(jié)
referer 的 metedata 參數(shù)可以設(shè)置為以下幾種類(lèi)型的值:
never
always
origin
default
如果在文檔中插入 meta 標(biāo)簽,并且 name 屬性的值為 referer,瀏覽器客戶(hù)端將按照如下步驟處理這個(gè)標(biāo)簽:
1.如果 meta 標(biāo)簽中沒(méi)有 content 屬性,則終止下面所有操作
2.將 content 的值復(fù)制給 referrer-policy ,并轉(zhuǎn)換為小寫(xiě)
3.檢查 content 的值是否為上面 list 中的一個(gè),如果不是,則將值置為 default
上述步驟之后,瀏覽器后續(xù)發(fā)起 http 請(qǐng)求的時(shí)候,會(huì)按照 content 的值,做出如下反應(yīng)(下面 referer-policy 的值即 meta 標(biāo)簽中 content 的值):
1.如果 referer-policy 的值為never:刪除 http head 中的 referer;
2.如果 referer-policy 的值為default:如果當(dāng)前頁(yè)面使用的是 https 協(xié)議,而正要加載的資源使用的是普通的 http 協(xié)議,則將 http header 中的 referer 置為空;
3.如果 referer-policy 的值為 origin:只發(fā)送 origin 部分;
4.如果 referer-policy 的值為 always:不改變http header 中的 referer 的值,注意:這種情況下,如果當(dāng)前頁(yè)面使用了 https 協(xié)議,而要加載的資源使用的是 http 協(xié)議,加載資源的請(qǐng)求頭中也會(huì)攜帶 referer。
例子
如果頁(yè)面中包含了如下 meta 標(biāo)簽,所有從當(dāng)前頁(yè)面中發(fā)起的請(qǐng)求將不會(huì)攜帶 referer:
<meta name="referrer" content="never">
如果頁(yè)面中包含了如下 meta 標(biāo)簽,則從當(dāng)前頁(yè)面中發(fā)起的 http請(qǐng)求將只攜帶 origin 部分(注:根據(jù)原文中的語(yǔ)境,我理解這里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分),而不是完整的 URL :
<meta name="referrer" content="origin">
注意:在使用本文中所述的 meta 標(biāo)簽的時(shí)候,瀏覽器原有的 referer 策略將被打破,比如從 http 協(xié)議的頁(yè)面跳轉(zhuǎn)到 https 的頁(yè)面的時(shí)候,如果設(shè)置了適當(dāng)?shù)闹?,也?huì)攜帶 referer。
其他問(wèn)題
這與 rel=noreferer 有什么關(guān)系呢?可能 rel=noreferer 會(huì)覆蓋掉本文中的 meta 標(biāo)簽所設(shè)置的值。也就是功能覆蓋。
origin 信息不是一個(gè)完整的 url,所以瀏覽器客戶(hù)端估計(jì)會(huì)在 origin 后面加一個(gè) / 來(lái)作為 path 部分。
如果 origin 是唯一的,會(huì)發(fā)生什么情況呢?估計(jì) referer 會(huì)被忽略。
譯者注
這篇文章最初寫(xiě)于2012年,目前在原始頁(yè)面已經(jīng)是廢棄狀態(tài),并且已經(jīng)提供了w3c 的referer-policy 頁(yè)面,但是,譯者注意到,目前很多網(wǎng)站在防御 CSRF 的時(shí)候,都采用校驗(yàn) referer 的方法,有時(shí)候允許 referer 為空,并且某些 BAT 廠商的重要業(yè)務(wù)在防御 JSON 劫持的時(shí)候,也采用校驗(yàn) referer 的方法并允許 referer 為空,也許你會(huì)覺(jué)得本文中描述的只是一種提議,但是,F(xiàn)ireFox 在21日的一篇文章中已經(jīng)聲明,從 Firefox 36 Beta 開(kāi)始,將會(huì)支持 referer-policy,這無(wú)疑會(huì)讓一些廠商的業(yè)務(wù)面臨威脅。
[參考來(lái)源wiki.whatwg.org,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)]
https 與 http 跳轉(zhuǎn) referer 的問(wèn)題
Http協(xié)議頭中的Referer主要用來(lái)讓服務(wù)器判斷來(lái)源頁(yè)面, 即用戶(hù)是從哪個(gè)頁(yè)面來(lái)的。獲取方式:$_SERVER[ 'HTTP_REFERER' ]
在https->http跳轉(zhuǎn)中,refer是不建議被傳遞的,而https->https和http->https則沒(méi)有這個(gè)問(wèn)題。
例如我獲取二維碼接口地址:
正確的效果
https://qrcode.artron.net/?text=https|http://m-exhibit.artron.net/&el=10&margin=1
錯(cuò)誤的效果
http://qrcode.artron.net/?text=https://m-exhibit.artron.net/jump/index
驗(yàn)證結(jié)果顯示,https 可以兼容http的一些參數(shù)問(wèn)題,而http不能兼容https的參數(shù)問(wèn)題,在這里順便說(shuō)一下http與https的區(qū)別
超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文,就可以直接讀懂其中的信息,因此HTTP協(xié)議不適合傳輸一些敏感信息,比如信用卡號(hào)、密碼等。
為了解決HTTP協(xié)議的這一缺陷,需要使用另一種協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩?,HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議,SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。
HTTPS和HTTP的區(qū)別主要為以下四點(diǎn):
一、https協(xié)議需要到ca申請(qǐng)證書(shū),一般免費(fèi)證書(shū)很少,需要交費(fèi)。
二、http是超文本傳輸協(xié)議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協(xié)議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全。
以下是對(duì)問(wèn)題的回答:
根據(jù)上文的說(shuō)明,一般情況下,從HTTPS站到HTTP站點(diǎn)的跳轉(zhuǎn),瀏覽器默認(rèn)不發(fā)送referrer,可以通過(guò)大概兩種辦法讓瀏覽器傳送referrer:
1,在A站的head中加入
<meta name="referrer" content="always">
2,B站也采用HTTPS
當(dāng)然如果A站強(qiáng)制規(guī)定不發(fā)送referrer,B站又沒(méi)有對(duì)A站的控制權(quán),就像上文中提到的一樣,我們是無(wú)法控制讓第三方統(tǒng)計(jì)工具統(tǒng)計(jì)到百度搜索來(lái)源關(guān)鍵詞的。
相關(guān)文章
15 個(gè)為編程初學(xué)者準(zhǔn)備的網(wǎng)站(都是國(guó)外的一些網(wǎng)站)
今天的文章,我們將分享15個(gè)可以學(xué)習(xí)編程的網(wǎng)站,這些網(wǎng)站上提供了很多編程教程,圖書(shū)以及編程練習(xí),希望對(duì)你有用2024-11-02web開(kāi)發(fā)中的長(zhǎng)度單位小結(jié)
這篇文章主要介紹了web開(kāi)發(fā)中的長(zhǎng)度單位主要包括px,pt,em等,需要的朋友可以參考下2023-08-06網(wǎng)頁(yè)前端開(kāi)發(fā)的一些尺寸單位(px,rem單位)
px單位是絕對(duì)單位,一般用于pc端網(wǎng)頁(yè)開(kāi)發(fā),因?yàn)槭墙^對(duì)單位所以在移動(dòng)端上的使用體驗(yàn)并不是很好,rem它是描述相對(duì)于當(dāng)前根元素字體尺寸,是相對(duì)單位,它可以根據(jù)根元素的變換而2023-08-06WEB前端優(yōu)化必備js/css壓縮工具YUI-compressor詳解與集成用法
壓縮工具層次不窮,各有優(yōu)點(diǎn),選擇適合的壓縮工具為將來(lái)做項(xiàng)目開(kāi)發(fā)使用是一件很重要的事情!!在這介紹YUI-compressor,需要的朋友可以參考下2023-06-21html,css,javascript是怎樣變成頁(yè)面的
瀏覽器是多進(jìn)程的,有瀏覽器主進(jìn)程,網(wǎng)絡(luò)進(jìn)程,渲染進(jìn)程,插件進(jìn)程等,在將html,css,javascript解析成一個(gè)頁(yè)面的時(shí)候,就需要多個(gè)進(jìn)程的分工合作2023-05-01- 本文為大家整理了常用的文件對(duì)應(yīng)的MIME類(lèi)型,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2022-04-25
postman中form-data、x-www-form-urlencoded、raw、binary的區(qū)別介紹
這篇文章介紹了postman中form-data、x-www-form-urlencoded、raw、binary的區(qū)別,對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2021-12-28網(wǎng)頁(yè)中使用Unicode字符的介紹(&#,\u等)
國(guó)際組織制定了可以容納世界上所有文字和符號(hào)的字符編碼方案,稱(chēng)為Unicode,是通用字符集Universal Character Set的縮寫(xiě),用以滿(mǎn)足跨語(yǔ)言、跨平臺(tái)進(jìn)行文本轉(zhuǎn)換、處理的要求2021-11-27前端實(shí)現(xiàn)字符串GBK與GB2312的編解碼(小結(jié))
這篇文章主要介紹了前端實(shí)現(xiàn)字符串GBK與GB2312的編解碼(小結(jié)),小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧2020-12-02告別硬編碼讓你的前端表格自動(dòng)計(jì)算的實(shí)例代碼
這篇文章主要介紹了告別硬編碼讓你的前端表格自動(dòng)計(jì)算,本文通過(guò)實(shí)例代碼給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下2020-09-27