本文描述了一個(gè)關(guān)于 http 協(xié)議中 referer 的 metadata 參數(shù)的提議，使用這個(gè) metadata 參數(shù)，html 文檔可以控制 http 請(qǐng)求中的 referer ，比如是否發(fā)送 referer、只發(fā)送 hostname 還是發(fā)送完整的 referer 等。雖然有一些方法可以控制 referer ，比如 flash，以及一些 js 的 tricks，但是本文中描述的是另外一番景象。

使用場(chǎng)景

在某些情況下，出于一些原因，網(wǎng)站想要控制頁(yè)面發(fā)送給 server 的 referer 信息的情況下，可以使用這一 referer metadata 參數(shù)。

隱私

社交網(wǎng)站一般都會(huì)有用戶(hù)個(gè)人頁(yè)面，這些頁(yè)面中用戶(hù)都有可能添加一些外網(wǎng)的鏈接，而社交網(wǎng)站有可能不希望在用戶(hù)點(diǎn)擊了這些鏈接的時(shí)候，泄露用戶(hù)頁(yè)面的 URL ，因?yàn)檫@些 URL 中可能包含一些敏感信息。當(dāng)然，有些社交網(wǎng)站可能只想在 referer 中提供一個(gè) hostname，而不是完整的 URL 信息。

安全

有些使用了 https 的網(wǎng)站，可能在 URL 中使用一個(gè)參數(shù)(sid 等)來(lái)作為用戶(hù)身份憑證，而又需要引入其他 https 網(wǎng)站的資源，這種情況下，網(wǎng)站肯定不希望泄露用戶(hù)的身份憑證信息。

Object-Capability Discipline

有些網(wǎng)站遵循Object-Capability Discipline，而 referer 剛好與這一策略相悖，所以，網(wǎng)站能夠控制 refeer 將對(duì) Object-Capability Discipline 很有利。

技術(shù)細(xì)節(jié)

referer 的 metedata 參數(shù)可以設(shè)置為以下幾種類(lèi)型的值：

never
always
origin
default
 

如果在文檔中插入 meta 標(biāo)簽，并且 name 屬性的值為 referer，瀏覽器客戶(hù)端將按照如下步驟處理這個(gè)標(biāo)簽：

1.如果 meta 標(biāo)簽中沒(méi)有 content 屬性，則終止下面所有操作
2.將 content 的值復(fù)制給 referrer-policy ，并轉(zhuǎn)換為小寫(xiě)
3.檢查 content 的值是否為上面 list 中的一個(gè)，如果不是，則將值置為 default
 

上述步驟之后，瀏覽器后續(xù)發(fā)起 http 請(qǐng)求的時(shí)候，會(huì)按照 content 的值，做出如下反應(yīng)(下面 referer-policy 的值即 meta 標(biāo)簽中 content 的值)：

1.如果 referer-policy 的值為never：刪除 http head 中的 referer；
2.如果 referer-policy 的值為default：如果當(dāng)前頁(yè)面使用的是 https 協(xié)議，而正要加載的資源使用的是普通的 http 協(xié)議，則將 http header 中的 referer 置為空；
3.如果 referer-policy 的值為 origin：只發(fā)送 origin 部分；
4.如果 referer-policy 的值為 always：不改變http header 中的 referer 的值，注意：這種情況下，如果當(dāng)前頁(yè)面使用了 https 協(xié)議，而要加載的資源使用的是 http 協(xié)議，加載資源的請(qǐng)求頭中也會(huì)攜帶 referer。
 

例子

如果頁(yè)面中包含了如下 meta 標(biāo)簽，所有從當(dāng)前頁(yè)面中發(fā)起的請(qǐng)求將不會(huì)攜帶 referer：

<meta name="referrer" content="never">

如果頁(yè)面中包含了如下 meta 標(biāo)簽，則從當(dāng)前頁(yè)面中發(fā)起的 http請(qǐng)求將只攜帶 origin 部分（注：根據(jù)原文中的語(yǔ)境，我理解這里的 origin 是包含了 schema 和 hostname 的部分 url，不包含 path 等后面的其他 url 部分），而不是完整的 URL ：

<meta name="referrer" content="origin">

注意：在使用本文中所述的 meta 標(biāo)簽的時(shí)候，瀏覽器原有的 referer 策略將被打破，比如從 http 協(xié)議的頁(yè)面跳轉(zhuǎn)到 https 的頁(yè)面的時(shí)候，如果設(shè)置了適當(dāng)?shù)闹?，也?huì)攜帶 referer。

其他問(wèn)題

這與 rel=noreferer 有什么關(guān)系呢？可能 rel=noreferer 會(huì)覆蓋掉本文中的 meta 標(biāo)簽所設(shè)置的值。也就是功能覆蓋。
origin 信息不是一個(gè)完整的 url，所以瀏覽器客戶(hù)端估計(jì)會(huì)在 origin 后面加一個(gè) / 來(lái)作為 path 部分。
如果 origin 是唯一的，會(huì)發(fā)生什么情況呢？估計(jì) referer 會(huì)被忽略。

譯者注

這篇文章最初寫(xiě)于2012年，目前在原始頁(yè)面已經(jīng)是廢棄狀態(tài)，并且已經(jīng)提供了w3c 的referer-policy 頁(yè)面，但是，譯者注意到，目前很多網(wǎng)站在防御 CSRF 的時(shí)候，都采用校驗(yàn) referer 的方法，有時(shí)候允許 referer 為空，并且某些 BAT 廠商的重要業(yè)務(wù)在防御 JSON 劫持的時(shí)候，也采用校驗(yàn) referer 的方法并允許 referer 為空，也許你會(huì)覺(jué)得本文中描述的只是一種提議，但是，F(xiàn)ireFox 在21日的一篇文章中已經(jīng)聲明，從 Firefox 36 Beta 開(kāi)始，將會(huì)支持 referer-policy，這無(wú)疑會(huì)讓一些廠商的業(yè)務(wù)面臨威脅。

[參考來(lái)源wiki.whatwg.org，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）]

https 與 http 跳轉(zhuǎn) referer 的問(wèn)題

Http協(xié)議頭中的Referer主要用來(lái)讓服務(wù)器判斷來(lái)源頁(yè)面, 即用戶(hù)是從哪個(gè)頁(yè)面來(lái)的。獲取方式：$_SERVER[ 'HTTP_REFERER' ]

在https->http跳轉(zhuǎn)中，refer是不建議被傳遞的，而https->https和http->https則沒(méi)有這個(gè)問(wèn)題。

例如我獲取二維碼接口地址：

正確的效果

https://qrcode.artron.net/?text=https|http://m-exhibit.artron.net/&el=10&margin=1

錯(cuò)誤的效果

http://qrcode.artron.net/?text=https://m-exhibit.artron.net/jump/index

驗(yàn)證結(jié)果顯示，https 可以兼容http的一些參數(shù)問(wèn)題，而http不能兼容https的參數(shù)問(wèn)題，在這里順便說(shuō)一下http與https的區(qū)別

超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號(hào)、密碼等。
為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩?，HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

HTTPS和HTTP的區(qū)別主要為以下四點(diǎn)：

一、https協(xié)議需要到ca申請(qǐng)證書(shū)，一般免費(fèi)證書(shū)很少，需要交費(fèi)。
二、http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議。
三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
四、http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

以下是對(duì)問(wèn)題的回答：

根據(jù)上文的說(shuō)明，一般情況下，從HTTPS站到HTTP站點(diǎn)的跳轉(zhuǎn)，瀏覽器默認(rèn)不發(fā)送referrer，可以通過(guò)大概兩種辦法讓瀏覽器傳送referrer:

1，在A站的head中加入

<meta name="referrer" content="always">

2，B站也采用HTTPS
 

當(dāng)然如果A站強(qiáng)制規(guī)定不發(fā)送referrer，B站又沒(méi)有對(duì)A站的控制權(quán)，就像上文中提到的一樣，我們是無(wú)法控制讓第三方統(tǒng)計(jì)工具統(tǒng)計(jì)到百度搜索來(lái)源關(guān)鍵詞的。

最新評(píng)論