這篇文章將為大家詳細(xì)講解有關(guān)https網(wǎng)站發(fā)送referrer https與http跳轉(zhuǎn)referer的問題��,小編覺得挺實(shí)用的��,因此分享給大家做個(gè)參考�,希望大家閱讀完這篇文章后可以有所收獲���。
創(chuàng)新互聯(lián)為客戶提供專業(yè)的成都網(wǎng)站設(shè)計(jì)�、做網(wǎng)站����、程序、域名��、空間一條龍服務(wù)����,提供基于WEB的系統(tǒng)開發(fā). 服務(wù)項(xiàng)目涵蓋了網(wǎng)頁設(shè)計(jì)、網(wǎng)站程序開發(fā)�、WEB系統(tǒng)開發(fā)、微信二次開發(fā)��、移動(dòng)網(wǎng)站建設(shè)等網(wǎng)站方面業(yè)務(wù)����。
使用場景
在某些情況下,出于一些原因��,網(wǎng)站想要控制頁面發(fā)送給 server 的 referer 信息的情況下���,可以使用這一 referer metadata 參數(shù)�。
隱私
社交網(wǎng)站一般都會(huì)有用戶個(gè)人頁面��,這些頁面中用戶都有可能添加一些外網(wǎng)的鏈接�����,而社交網(wǎng)站有可能不希望在用戶點(diǎn)擊了這些鏈接的時(shí)候�����,泄露用戶頁面的 URL ����,因?yàn)檫@些 URL 中可能包含一些敏感信息��。當(dāng)然��,有些社交網(wǎng)站可能只想在 referer 中提供一個(gè) hostname����,而不是完整的 URL 信息����。
安全
有些使用了 https 的網(wǎng)站,可能在 URL 中使用一個(gè)參數(shù)(sid 等)來作為用戶身份憑證�����,而又需要引入其他 https 網(wǎng)站的資源�,這種情況下,網(wǎng)站肯定不希望泄露用戶的身份憑證信息����。
Object-Capability Discipline
有些網(wǎng)站遵循Object-Capability Discipline,而 referer 剛好與這一策略相悖���,所以����,網(wǎng)站能夠控制 refeer 將對 Object-Capability Discipline 很有利���。
技術(shù)細(xì)節(jié)
referer 的 metedata 參數(shù)可以設(shè)置為以下幾種類型的值:
never
always
origin
default
如果在文檔中插入 meta 標(biāo)簽�,并且 name 屬性的值為 referer�,瀏覽器客戶端將按照如下步驟處理這個(gè)標(biāo)簽:
1.如果 meta 標(biāo)簽中沒有 content 屬性,則終止下面所有操作
2.將 content 的值復(fù)制給 referrer-policy �����,并轉(zhuǎn)換為小寫
3.檢查 content 的值是否為上面 list 中的一個(gè)�,如果不是,則將值置為 default
上述步驟之后�����,瀏覽器后續(xù)發(fā)起 http 請求的時(shí)候�����,會(huì)按照 content 的值����,做出如下反應(yīng)(下面 referer-policy 的值即 meta 標(biāo)簽中 content 的值):
1.如果 referer-policy 的值為never:刪除 http head 中的 referer���;
2.如果 referer-policy 的值為default:如果當(dāng)前頁面使用的是 https 協(xié)議,而正要加載的資源使用的是普通的 http 協(xié)議�����,則將 http header 中的 referer 置為空�����;
3.如果 referer-policy 的值為 origin:只發(fā)送 origin 部分�;
4.如果 referer-policy 的值為 always:不改變http header 中的 referer 的值,注意:這種情況下���,如果當(dāng)前頁面使用了 https 協(xié)議�,而要加載的資源使用的是 http 協(xié)議��,加載資源的請求頭中也會(huì)攜帶 referer�。
例子
如果頁面中包含了如下 meta 標(biāo)簽,所有從當(dāng)前頁面中發(fā)起的請求將不會(huì)攜帶 referer:
如果頁面中包含了如下 meta 標(biāo)簽���,則從當(dāng)前頁面中發(fā)起的 http請求將只攜帶 origin 部分(注:根據(jù)原文中的語境����,我理解這里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分)�,而不是完整的 URL :
注意:在使用本文中所述的 meta 標(biāo)簽的時(shí)候,瀏覽器原有的 referer 策略將被打破�����,比如從 http 協(xié)議的頁面跳轉(zhuǎn)到 https 的頁面的時(shí)候���,如果設(shè)置了適當(dāng)?shù)闹担矔?huì)攜帶 referer���。
其他問題
這與 rel=noreferer 有什么關(guān)系呢�?可能 rel=noreferer 會(huì)覆蓋掉本文中的 meta 標(biāo)簽所設(shè)置的值��。也就是功能覆蓋����。
origin 信息不是一個(gè)完整的 url,所以瀏覽器客戶端估計(jì)會(huì)在 origin 后面加一個(gè) / 來作為 path 部分���。
如果 origin 是唯一的��,會(huì)發(fā)生什么情況呢��?估計(jì) referer 會(huì)被忽略��。
譯者注
這篇文章最初寫于2012年�,目前在原始頁面已經(jīng)是廢棄狀態(tài),并且已經(jīng)提供了w3c 的referer-policy 頁面���,但是��,譯者注意到���,目前很多網(wǎng)站在防御 CSRF 的時(shí)候,都采用校驗(yàn) referer 的方法���,有時(shí)候允許 referer 為空��,并且某些 BAT 廠商的重要業(yè)務(wù)在防御 JSON 劫持的時(shí)候����,也采用校驗(yàn) referer 的方法并允許 referer 為空��,也許你會(huì)覺得本文中描述的只是一種提議���,但是��,F(xiàn)ireFox 在21日的一篇文章中已經(jīng)聲明���,從 Firefox 36 Beta 開始���,將會(huì)支持 referer-policy,這無疑會(huì)讓一些廠商的業(yè)務(wù)面臨威脅�。
[參考來源wiki.whatwg.org�����,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)]
https 與 http 跳轉(zhuǎn) referer 的問題
Http協(xié)議頭中的Referer主要用來讓服務(wù)器判斷來源頁面, 即用戶是從哪個(gè)頁面來的�����。獲取方式:$_SERVER[ 'HTTP_REFERER' ]
在https->http跳轉(zhuǎn)中���,refer是不建議被傳遞的��,而https->https和http->https則沒有這個(gè)問題����。
例如我獲取二維碼接口地址:
正確的效果
https://qrcode.artron.net/?text=https|http://m-exhibit.artron.net/&el=10&margin=1
錯(cuò)誤的效果
http://qrcode.artron.net/?text=https://m-exhibit.artron.net/jump/index
驗(yàn)證結(jié)果顯示,https 可以兼容http的一些參數(shù)問題�����,而http不能兼容https的參數(shù)問題���,在這里順便說一下http與https的區(qū)別
超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息����。HTTP協(xié)議以明文方式發(fā)送內(nèi)容���,不提供任何方式的數(shù)據(jù)加密�,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文��,就可以直接讀懂其中的信息�����,因此HTTP協(xié)議不適合傳輸一些敏感信息�,比如信用卡號、密碼等���。
為了解決HTTP協(xié)議的這一缺陷��,需要使用另一種協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS��。為了數(shù)據(jù)傳輸?shù)陌踩?��,HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議��,SSL依靠證書來驗(yàn)證服務(wù)器的身份���,并為瀏覽器和服務(wù)器之間的通信加密。
HTTPS和HTTP的區(qū)別主要為以下四點(diǎn):
一���、https協(xié)議需要到ca申請證書,一般免費(fèi)證書很少���,需要交費(fèi)��。
二�、http是超文本傳輸協(xié)議�����,信息是明文傳輸�����,https 則是具有安全性的ssl加密傳輸協(xié)議。
三����、http和https使用的是完全不同的連接方式,用的端口也不一樣����,前者是80,后者是443�����。
四���、http的連接很簡單���,是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸���、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議�����,比http協(xié)議安全�����。
以下是對問題的回答:
根據(jù)上文的說明��,一般情況下����,從HTTPS站到HTTP站點(diǎn)的跳轉(zhuǎn),瀏覽器默認(rèn)不發(fā)送referrer���,可以通過大概兩種辦法讓瀏覽器傳送referrer:
1���,在A站的head中加入
2,B站也采用HTTPS
關(guān)于“https網(wǎng)站發(fā)送referrer https與http跳轉(zhuǎn)referer的問題”這篇文章就分享到這里了��,希望以上內(nèi)容可以對大家有一定的幫助���,使各位可以學(xué)到更多知識,如果覺得文章不錯(cuò)����,請把它分享出去讓更多的人看到��。
分享名稱:https網(wǎng)站發(fā)送referrerhttps與http跳轉(zhuǎn)referer的問題
網(wǎng)頁路徑:
http://weahome.cn/article/gehjpe.html
重慶分公司
重慶分公司
