让https网站发送 referrer https 与 http 跳转 referer 的问题

  发布时间:2018-07-06 12:22:10   作者:佚名   我要评论

最近网站改版很多时候发现广告客户提示找不到来自我们网站的数据,原来是因为我们最近升级了https导致,经过搜索找到如下解决方法,需要的朋友可以参考下

本文描述了一个关于 http 协议中 referer 的 metadata 参数的提议,使用这个 metadata 参数,html 文档可以控制 http 请求中的 referer ,比如是否发送 referer、只发送 hostname 还是发送完整的 referer 等。虽然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。

使用场景

在某些情况下,出于一些原因,网站想要控制页面发送给 server 的 referer 信息的情况下,可以使用这一 referer metadata 参数。

隐私

社交网站一般都会有用户个人页面,这些页面中用户都有可能添加一些外网的链接,而社交网站有可能不希望在用户点击了这些链接的时候,泄露用户页面的 URL ,因为这些 URL 中可能包含一些敏感信息。当然,有些社交网站可能只想在 referer 中提供一个 hostname,而不是完整的 URL 信息。

安全

有些使用了 https 的网站,可能在 URL 中使用一个参数(sid 等)来作为用户身份凭证,而又需要引入其他 https 网站的资源,这种情况下,网站肯定不希望泄露用户的身份凭证信息。

Object-Capability Discipline

有些网站遵循Object-Capability Discipline,而 referer 刚好与这一策略相悖,所以,网站能够控制 refeer 将对 Object-Capability Discipline 很有利。

技术细节

referer 的 metedata 参数可以设置为以下几种类型的值:

never
always
origin
default
 

如果在文档中插入 meta 标签,并且 name 属性的值为 referer,浏览器客户端将按照如下步骤处理这个标签:

1.如果 meta 标签中没有 content 属性,则终止下面所有操作
2.将 content 的值复制给 referrer-policy ,并转换为小写
3.检查 content 的值是否为上面 list 中的一个,如果不是,则将值置为 default
 

上述步骤之后,浏览器后续发起 http 请求的时候,会按照 content 的值,做出如下反应(下面 referer-policy 的值即 meta 标签中 content 的值):

1.如果 referer-policy 的值为never:删除 http head 中的 referer;
2.如果 referer-policy 的值为default:如果当前页面使用的是 https 协议,而正要加载的资源使用的是普通的 http 协议,则将 http header 中的 referer 置为空;
3.如果 referer-policy 的值为 origin:只发送 origin 部分;
4.如果 referer-policy 的值为 always:不改变http header 中的 referer 的值,注意:这种情况下,如果当前页面使用了 https 协议,而要加载的资源使用的是 http 协议,加载资源的请求头中也会携带 referer。
 

例子

如果页面中包含了如下 meta 标签,所有从当前页面中发起的请求将不会携带 referer:

<meta name="referrer" content="never">

如果页面中包含了如下 meta 标签,则从当前页面中发起的 http请求将只携带 origin 部分(注:根据原文中的语境,我理解这里的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等后面的其他 url 部分),而不是完整的 URL :

<meta name="referrer" content="origin">

注意:在使用本文中所述的 meta 标签的时候,浏览器原有的 referer 策略将被打破,比如从 http 协议的页面跳转到 https 的页面的时候,如果设置了适当的值,也会携带 referer。

其他问题

这与 rel=noreferer 有什么关系呢?可能 rel=noreferer 会覆盖掉本文中的 meta 标签所设置的值。也就是功能覆盖。
origin 信息不是一个完整的 url,所以浏览器客户端估计会在 origin 后面加一个 / 来作为 path 部分。
如果 origin 是唯一的,会发生什么情况呢?估计 referer 会被忽略。

译者注

这篇文章最初写于2012年,目前在原始页面已经是废弃状态,并且已经提供了w3c 的referer-policy 页面,但是,译者注意到,目前很多网站在防御 CSRF 的时候,都采用校验 referer 的方法,有时候允许 referer 为空,并且某些 BAT 厂商的重要业务在防御 JSON 劫持的时候,也采用校验 referer 的方法并允许 referer 为空,也许你会觉得本文中描述的只是一种提议,但是,FireFox 在21日的一篇文章中已经声明,从 Firefox 36 Beta 开始,将会支持 referer-policy,这无疑会让一些厂商的业务面临威胁。

[参考来源wiki.whatwg.org,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

https 与 http 跳转 referer 的问题

Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的。获取方式:$_SERVER[ 'HTTP_REFERER' ]

在https->http跳转中,refer是不建议被传递的,而https->https和http->https则没有这个问题。

例如我获取二维码接口地址:

正确的效果

https://qrcode.artron.net/?text=https|http://m-exhibit.artron.net/&el=10&margin=1

错误的效果

http://qrcode.artron.net/?text=https://m-exhibit.artron.net/jump/index

验证结果显示,https 可以兼容http的一些参数问题,而http不能兼容https的参数问题,在这里顺便说一下http与https的区别

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

以下是对问题的回答:

根据上文的说明,一般情况下,从HTTPS站到HTTP站点的跳转,浏览器默认不发送referrer,可以通过大概两种办法让浏览器传送referrer:

1,在A站的head中加入

<meta name="referrer" content="always">

2,B站也采用HTTPS
 

当然如果A站强制规定不发送referrer,B站又没有对A站的控制权,就像上文中提到的一样,我们是无法控制让第三方统计工具统计到百度搜索来源关键词的。

相关文章

  • 跨域图片资源权限(CORS enabled image)

    这篇文章主要介绍了跨域图片资源权限(CORS enabled image)的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-09-17
  • 教你如何优雅的实现垂直居中(推荐)

    这篇文章主要给大家介绍了关于如何优雅的实现垂直居中的相关资料,文中分别给大家介绍了已知宽高的元素、未知宽高的元素以及基于 Flexbox 的解决方案,都分别给出了示例代
    2018-09-12
  • 浅谈移动端适配大法

    这篇文章主要介绍了浅谈移动端适配大法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-09-05
  • 关于移动端页面强制竖屏的方法

    有经验的你肯定知道,当用户竖屏打开时,提示说你要把手机转过来是在是件很傻×的事情。这时如果用户没开启手机里的横屏模式,还要逼用户去开启。这时候用户早就不耐烦了。
    2018-08-27
  • 关于rem适配的3种常用封装

    这篇文章主要给大家介绍了关于rem适配的3种常用封装,文中通过示例代码介绍的非常详细,对各位前端开发者们具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学
    2018-07-13
  • 实现横向滚动条的2种方法示例

    横向滚动条怎么出来?很多人肯定以为是:overflow-x:scroll;当然不是这么简单的,下面这篇文章主要给大家介绍了关于如何实现横向滚动条的2种方法,文中通过示例代码介绍的
    2018-07-06
  • 让https网站发送 referrer https 与 http 跳转 referer 的问题

    最近网站改版很多时候发现广告客户提示找不到来自我们网站的数据,原来是因为我们最近升级了https导致,经过搜索找到如下解决方法,需要的朋友可以参考下
    2018-07-06
  • 关于IE10以下的img标签问题解决

    这篇文章主要给大家介绍了关于IE10以下的img标签问题的解决方法,文中给大家介绍了两种解决方法,大家可以根绝自己的情况选择合适代码解决该问题,需要的朋友可以参考借鉴
    2018-07-02
  • 详解Web前端性能优化详解之资源合并与压缩

    这篇文章主要介绍了详解Web前端性能优化详解之资源合并与压缩,详细的介绍资源合并与压缩的案例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来
    2018-06-19
  • 浅谈网页基本性能优化规则小结

    这篇文章主要介绍了浅谈网页基本性能优化规则小结的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-06-07

最新评论