如何跨子域名保留referrer (Referer HTTP header)？ - 腾讯云开发者社区

--- 出于对保护隐私的考虑，Firefox 和 Chrome 等浏览器引入了一套更精确控制浏览器如何发送「referer」请求头的机制，名叫「Referrer-Policy」。...Referrer-Policy "no-referrer" always; #Apache配置： Header always set Referrer-Policy "same-origin" 方法二...域名和协议完全相同，两个站点才是同源站点； origin 浏览器会发送 referer 请求头，但 referer 请求头里只有发起方的域名信息，没有完整的 URL 路径。...Referrer-Policy设置为same-origin同源] 这时候，由于和发起端 www.sandbox.com 的域名并不同源，如下图所示，可以看出，发往 http://img.tcxa.com.cn.../logo.png 图片的请求此时已不再出现 Referer 请求头了： [▲图4.子资源的请求里不再包含Referer请求头] 题外话： referer 这个单词在英语里并不存在，它是个拼错的单词，正确写法是

2.6K1 0

HTTP系列之Referer和Referrer policy简介

2、Referer简介 referer参数是http请求头header里的一个关键参数，表示的意思是链接的来源地址，比如在页面引入图片、JS 等资源，或者跳转链接，一般不修改策略，都会带上Referer...3、Referer安全性 Referer这个http header的参数应用得当的话，是可以提高安全性的，比如，可以这个参数其实就告诉了链接的请求来源于哪个网站，所以可以根据这个特性，限制一些接口只能本网站的才能调...，如果对于Referer参数要合理地使用，所以有必要介绍一下w3c提出的referrer policy ps：http header里的referer其实是拼写少了一个r，正确的拼写应该是referrer...Referrer(协议+域名+端口)，注意这里的Referrer同样只包括协议+域名+端口而已 5.6、origin-when-cross-origin 跨域时候发送Referrer(协议+域名+端口)...的链接；2、跨域，符合这两种情况的，发送Referrer(协议+域名+端口)，其它情况包括https的网站调http的链接这种协议降级的情况，等等，还有很多情况，这些情况都发送完整的Referrer 5.8

2.3K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

学习 HTTP Referer

" referrerpolicy="no-referrer">查看链接复制代码到此大家应该对 Referer 有了一个大概的了解，那么 Referer 字段在什么条件下会展示，以及如何去控制 Referer...若部分域名不需要走这一套逻辑，不携带 Referer 头信息，则需要指定 Referrer-Policy 策略为 no-referrer 。...Referrer-Policy: originReferer字段一律只发送源信息（协议+域名+端口），不管是否跨域。...Referrer-Policy: strict-origin-when-cross-origin同源时，发送完整的Referer字段；跨域时，如果 HTTPS 网址链接到 HTTP 网址，不发送Referer...add_header Referrer-Policy "no-referrer";复制代码设置完请求头，最终体现在浏览器 Headers 里字段是：Referrer-Policy: no-referrer

1.7K3 0

学习 HTTP Referer

/live" referrerpolicy="no-referrer">查看链接到此大家应该对 Referer 有了一个大概的了解，那么 Referer 字段在什么条件下会展示，以及如何去控制...若部分域名不需要走这一套逻辑，不携带 Referer 头信息，则需要指定 Referrer-Policy 策略为 no-referrer 。...Referrer-Policy: origin Referer字段一律只发送源信息（协议+域名+端口），不管是否跨域。...Referrer-Policy: strict-origin-when-cross-origin 同源时，发送完整的 Referer 字段；跨域时，如果 HTTPS 网址链接到 HTTP 网址，不发送...add_header Referrer-Policy "no-referrer"; 设置完请求头，最终体现在浏览器 Headers 里字段是： Referrer-Policy: no-referrer

1.6K3 0

【基本功】前端安全系列之二：如何防止CSRF攻击？

在HTTP协议中，每一个异步请求都会携带两个Header，用于标记来源域名： Origin Header Referer Header 这两个Header在浏览器发起请求时，大多数情况会自动带上，并且不能由前端自定义内容...使用Referer Header确定来源域名根据HTTP协议，在HTTP头中有一个字段叫Referer，记录了该HTTP请求的来源地址。...2014年，W3C的Web应用安全工作组发布了Referrer Policy草案，对浏览器该如何发送Referer做了详细的规定。...根据上面的表格因此需要把Referrer Policy的策略设置成same-origin，对于同源的链接和引用，会发送Referer，referer值为Host不带Path；跨域访问则不携带Referer...如何阻止外域请求通过Header的验证，我们可以知道发起请求的来源域名，这些来源域名可能是网站本域，或者子域名，或者有授权的第三方域名，又或者来自不可信的未知域名。

1.9K2 0

【html】referrer值的设置小记

html中的referrer值的设置当html页面中引入跨域的资源时（image,js,css等），可在html的header中加上 <meta name="<em>referrer</em>" content=“no-referrer...如果content属性不是合法的取值，浏览器会自动选择no-referer策略中的值设置如下：空字符串 no-referrer...会发送,但是只发送协议和域名信息 strict-origin 会发送,但是只发送协议和域名信息,当https到http的请求不会发送referrer origin-when-cross-origin...同源的请求,会发送referrer,不同源的情况下,只发送协议和域名信息 strict-origin-when-cross-origin 同源的请求,会发送referrer,https到http的请求不会发送...百度统计、cnzz等统计网站可能会导致失效，并且当七牛云设置了Referer 防盗链且不为空时，将不可访问~

5.7K1 0

img 标签访问图片返回403 forbidden问题，meta标签的说明

http请求体的header中有一个referrer字段，用来表示发起http请求的源地址信息，这个referrer信息是可以省略但是不可修改的，就是说你只能设置是否带上这个referrer信息，不能定制...nginx配置图片防盗链最后再说一下这种根据referrer拦截，在服务器如何配置。我自己服务器用的nginx，这里就说下nginx的配置。...地址，加上none，表示没有传referer也是合法的，最后referer不合法的情况返回403。...orgin http头部中还有一个与referrer类似的叫orgin的字段，在发送跨域请求或预检请求(preflight request)时会带上这个参数，他用来表示发起请求的服务器地址，这个参数是必定会传的...，然后服务器端用此字段来判断是否允许跨域。

2.6K1 0

Referrer-Policy策略应用

2020-04-22 16:46:34 Referrer-Policy通俗点就是Referrer的策略，指的是当前页面的referer应该如何设置的问题。...Referer HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理...我们众所周知的图片防盗链采用的方式就是判断referer，允许某个域名的来源可以访问图片，服务器接口也可以通过referer来判断是否允许请求者请求该页面或接口，做到保护限制的作用。..."> referer策略值 referer策略一般有以下几种值 no-referrer no-referrer-when-downgrade origin origin-when-cross-origin...一般用于本身业务自有多个域名，但依然想统计referer信息。

1.2K3 0

＜meta name=“referrer“ content=“never“＞简介

目前，只有一种情况会发生安全级别下降，即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和链接跳转都不会发送 referrer。...same-origin：对于同源的链接和引用，会发送referrer，其他的不会。 origin：会发送 referrer，但只会发送源信息。源信息包括访问协议和域名。...参数 referer 的 metedata 属性可设置content属性值为以下集合： never always origin 结果如果referer-policy的值为never：删除http head...中的referer；如果referer-policy的值为default：如果当前页面使用的是https协议，而正要加载资源使用的是普通的http协议，则将http header中额referer置为空...；如果referer-policy的值origin：只发送origin部分；如果referer-policy的值为always：不改变http header中的referer的值；举例　　如果页面中包含了如下

1.6K3 0

HTTP Referer 教程

（2）no-referrer-when-downgrade 如果从 HTTPS 网址链接到 HTTP 网址，不发送Referer字段，其他情况发送（包括 HTTP 网址链接到 HTTP 网址）。...（3）same-origin 链接到同源网址（协议+域名+端口都相同）时发送，否则不发送。注意，https://foo.com链接到http://foo.com也属于跨域。...（4）origin Referer字段一律只发送源信息（协议+域名+端口），不管是否跨域。...（7）strict-origin-when-cross-origin 同源时，发送完整的Referer字段；跨域时，如果 HTTPS 网址链接到 HTTP 网址，不发送Referer字段，否则发送源信息...（1）HTTP 头信息服务器发送网页的时候，通过 HTTP 头信息的Referrer-Policy告诉浏览器。

2.5K4 0

HTTP跨域请求后台处理

XMLHttpRequest at 'xxx' from origin 'yyy' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header...CORS的意思是跨域资源共享，当web从一个不属于本身所在的服务器的资源地址（域名、协议、端口）请求资源时，就会发起这样一个跨域HTTP请求，比如你的服务所在域名是‘www.aaa.com/yyy’，这时候你的前端想要从...://www.aaa.com Referer: http://www.aaa.com/yyy User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit...://www.aaa.com Referer: http://www.aaa.com/yyy User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit...至此，跨域请求就完全配置OK，可以正常访问啦。参考资料： https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

7571 0

解决 hexo 博客的图片链接失效问题

不蒜子 (https://busuanzi.ibruce.info/)统计，你会发现问题，查看控制台会出现不蒜子出现跨域的请求。....> ...在它之上的所有链接都会带来源信息，之后的就是 no-referrer 了。所以理论上也就规避了图片的防盗链了。划重点，但是并没有如愿解决不蒜子的跨域问题。... 所以，可以为所有文章内的图片动态添加 referrerpolicy 属性，通过查看控制台找到图片...img 的类名 image.png 在文件夹中全局搜索类名，找到如下代码： image.png //为文章内的图片添加no-referrer来隐藏referer（解决第三方图片外链不显示问题） $(this

1.4K1 0

Web应用服务器安全：攻击、防护与检测

) HTTP Strict Transport Security undefined 跨站脚本(Cross-site scripting,XSS) X-XSS-Protection、Content-Security-Policy...DENY:表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。...配置如下: //HAProxy http-response set-header X-Frame-Options:DENY //Nginx add_header X-Frame-Options "DENY...选项列表： Referrer-Policy: no-referrer //整个 Referer 首部会被移除。...set-header Referrer-Policy no-referrer-when-downgrade //Nginx add_header Referrer-Policy: no-referrer-when-downgrade

3.8K9 0

【网络安全】前端程序员务必掌握的图片防盗链

原理在 http 协议请求中 header 里会带个 Referer 字段。通过图片服务器检查 Referer 是否来自规定的域名（白名单），而进行防盗链。...如果被注释的 rewrite 则返回一张 403.jpg 的图片显示第三方防盗链图片顺这浏览器能直接访问防盗链图片的思路，不难发现，只要请求头 header 里面不携带 Referer 就能正常访问到防盗链的资源...1.全局下请求都不带 referer 标题含义 no-referrer 整个 Referer 首部会被移除...no-referrer-when-downgrade 在同等安全级别的情况下，引用页面的地址会被发送(HTTPS->HTTPS)，但是在降级的情况下不会被发送 (HTTPS->HTTP)。...然后项目中用到了微信 H5 支付，而微信 H5 支付是需要通过从 referer 中获取当前调起H5支付的域名与申请H5支付时提交的授权域名判断域名是否一致的。

7822 0

Web安全漏洞之CSRF

另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。...检查 Referer 字段大家都知道 HTTP 头中有一个 Referer 字段，这个字段用以标明请求来源于哪个地址。通过在网站中校验请求的该字段，我们能知道请求是否是从本站发出的。...我们可以拒绝一切非本站发出的请求，这样避免了 CSRF 的跨站特性。...这种方式利用了客户端无法构造 Referrer 的特性，虽然简单，不过当网站域名有多个，或者经常变换域名的时候会变得非常的麻烦，同时也具有一定的局限性。...该方式是在前端记录登录 token，每次请求的时候通过在 Header 中添加认证头的方式来实现登录校验过程。

5482 0

H5 Http请求403 - Referrer Policy

Referrer-Policy常见属性 no-referrer 任何情况下都不发送referer no-referrer-when-downgrade //在同等安全等级下（例如https页面请求...https地址），发送referer，但当请求方低于发送方（例如https页面请求http地址），不发送referer origin //仅仅发送origin，即protocal+host origin-when-cross-origin...//跨域时发送origin same-origin //当双方origin相同时发送 strict-origin //当双方origin相同且安全等级相同时发送 unfafe-url...//任何情况下都显示完整的referer ---- 其他： //不改变http header 中的 referer 的值...注意：这种情况下，如果当前页面使用了 https 协议，而要加载的资源使用的是 http 协议，加载资源的请求头中也会携带 referer。

1.3K1 0

HTTP响应头中可以使用的各种响应头字段

+主机+端口号）的所有内容 default-src 'self' *.example.com允许读取来自于指定域名及其所有子域名的所有内容 X-Permitted-Cross-Domain-Policies...includeSubDomains 用于指定所有子域名同样使用该策略。...Access-Control-Allow-Origin等CORS相关字段当使用XMLHttpRequest从其他域名中获取资源进行跨域通信时使用。...Referrer-Policy Referrer Policy即引用策略，就是从一个页面发出请求时，是否在请求头部定义 Referrer 的设置。...none'; add_header X-XSS-Protection '1;mode=block'; add_header Referrer-Policy "no-referrer";

2.2K3 0

HTTP 规范中的那些暗坑

1.Referer HTTP 标准把 Referrer 写成 Referer（少些了一个 r），可以说是计算机历史上最著名的一个错别字了。...前段时间闹的沸沸扬扬的新浪图床挂图事件，就是因为新浪图床突然开始检查 HTTP Referer 头，非新浪域名就不返回图片，导致很多蹭流量的中小博客图都挂了。...虽然 HTTP 标准里把 Referer 写错了，但是其它可以控制 Referer 的标准并没有将错就错。...: "no-referrer-when-downgrade", // <- }); 一句话总结：凡是涉及到 Referrer 的，除了 HTTP 字段是错的，浏览器的相关配置字段拼写都是正确的。...2.冲突的协议我们首先看看 URI 中的保留字[3]，这些保留字不参与编码。保留字符一共有两大类： gen-delims：: / ? # [ ] @ sub-delims：!

7172 0

Hugo 网站优化(6): 博客图片不能显示，全怪 Adblock。

打开调试模式，发现图片报红，报错 Referrer Policy: no-referrer-when-downgrade 。...no-referer-when-downgrade 经过搜索，提示发现这个是浏览器的安全策略[2] ，不能从 https 的网站访问 http 的资源，这个过程被称为降级。...no-referrer-when-downgrade Send the origin, path, and querystring in Referer when the protocol security...Don't send the Referer header for requests to less secure destinations (HTTPS→HTTP, HTTPS→file)....但是很奇怪，从图片中可以看到，在 Request Header 中，图片地址与 Referer 都是 https://tangx.in/ ，不存在跨域，也不存在降级。

6662 0

你了解Referer吗

简介常见的 http 请求中，header 部分往往都会带有一个referer字段。如下： ? 该字段记录了请求来源。...正常情况下，当前页面加载时发起请求，或用户在页面点击链接发起请求，浏览器会自动在 http 请求 hearder 的referer字段中，添加当前页面的域名（如上图的场景）。...所以屏幕前的小伙伴往后在使用该字段时，一定要注意拼写，是 referer，不是 referrer。...2. referer 字段的作用 http 请求头 header 中设置了referer字段，自然有此它的作用。常用的作用有两个，一是统计访问来源，二是设置防盗链。...那么就可以通过设置 http 请求 header 的referer字段来达到这个目的。通常，会有个白名单列表来圈定期望来源。

5.4K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

WEB安全防护相关响应头（下）

HTTP系列之Referer和Referrer policy简介

学习 HTTP Referer

学习 HTTP Referer

【基本功】前端安全系列之二：如何防止CSRF攻击？

【html】referrer值的设置小记

img 标签访问图片返回403 forbidden问题，meta标签的说明

Referrer-Policy策略应用

＜meta name=“referrer“ content=“never“＞简介

HTTP Referer 教程

HTTP跨域请求后台处理

解决 hexo 博客的图片链接失效问题

Web应用服务器安全：攻击、防护与检测

【网络安全】前端程序员务必掌握的图片防盗链

Web安全漏洞之CSRF

H5 Http请求403 - Referrer Policy

HTTP响应头中可以使用的各种响应头字段

HTTP 规范中的那些暗坑

Hugo 网站优化(6): 博客图片不能显示，全怪 Adblock。

你了解Referer吗

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐