本文描述了一個關于 http 協定中 referer 的 metadata 參數的提議,使用這個 metadata 參數,html 文檔可以控制 http 請求中的 referer ,比如是否發送 referer、隻發送 hostname 還是發送完整的 referer 等。雖然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。
使用場景
在某些情況下,出于一些原因,網站想要控制頁面發送給 server 的 referer 資訊的情況下,可以使用這一 referer metadata 參數。
隐私
社交網站一般都會有使用者個人頁面,這些頁面中使用者都有可能添加一些外網的連結,而社交網站有可能不希望在使用者點選了這些連結的時候,洩露使用者頁面的 URL ,因為這些 URL 中可能包含一些敏感資訊。當然,有些社交網站可能隻想在 referer 中提供一個 hostname,而不是完整的 URL 資訊。
安全
有些使用了 https 的網站,可能在 URL 中使用一個參數(sid 等)來作為使用者身份憑證,而又需要引入其他 https 網站的資源,這種情況下,網站肯定不希望洩露使用者的身份憑證資訊。
Object-Capability Discipline
有些網站遵循Object-Capability Discipline,而 referer 剛好與這一政策相悖,是以,網站能夠控制 refeer 将對 Object-Capability Discipline 很有利。
技術細節
referer 的 metedata 參數可以設定為以下幾種類型的值:
never
always
origin
default
如果在文檔中插入 meta 标簽,并且 name 屬性的值為 referer,浏覽器用戶端将按照如下步驟處理這個标簽:
1.如果 meta 标簽中沒有 content 屬性,則終止下面所有操作
2.将 content 的值複制給 referrer-policy ,并轉換為小寫
3.檢查 content 的值是否為上面 list 中的一個,如果不是,則将值置為 default
上述步驟之後,浏覽器後續發起 http 請求的時候,會按照 content 的值,做出如下反應(下面 referer-policy 的值即 meta 标簽中 content 的值):
1.如果 referer-policy 的值為never:删除 http head 中的 referer;
2.如果 referer-policy 的值為default:如果目前頁面使用的是 https 協定,而正要加載的資源使用的是普通的 http 協定,則将 http header 中的 referer 置為空;
3.如果 referer-policy 的值為 origin:隻發送 origin 部分;
4.如果 referer-policy 的值為 always:不改變http header 中的 referer 的值,注意:這種情況下,如果目前頁面使用了 https 協定,而要加載的資源使用的是 http 協定,加載資源的請求頭中也會攜帶 referer。
例子
如果頁面中包含了如下 meta 标簽,所有從目前頁面中發起的請求将不會攜帶 referer:
如果頁面中包含了如下 meta 标簽,則從目前頁面中發起的 http請求将隻攜帶 origin 部分(注:根據原文中的語境,我了解這裡的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等後面的其他 url 部分),而不是完整的 URL :
注意:在使用本文中所述的 meta 标簽的時候,浏覽器原有的 referer 政策将被打破,比如從 http 協定的頁面跳轉到 https 的頁面的時候,如果設定了适當的值,也會攜帶 referer。
其他問題
這與 rel=noreferer 有什麼關系呢?可能 rel=noreferer 會覆寫掉本文中的 meta 标簽所設定的值。也就是功能覆寫。
origin 資訊不是一個完整的 url,是以浏覽器用戶端估計會在 origin 後面加一個 / 來作為 path 部分。
如果 origin 是唯一的,會發生什麼情況呢?估計 referer 會被忽略。
譯者注
這篇文章最初寫于2012年,目前在原始頁面已經是廢棄狀态,并且已經提供了w3c 的referer-policy 頁面,但是,譯者注意到,目前很多網站在防禦 CSRF 的時候,都采用校驗 referer 的方法,有時候允許 referer 為空,并且某些 BAT 廠商的重要業務在防禦 JSON 劫持的時候,也采用校驗 referer 的方法并允許 referer 為空,也許你會覺得本文中描述的隻是一種提議,但是,FireFox 在21日的一篇文章中已經聲明,從 Firefox 36 Beta 開始,将會支援 referer-policy,這無疑會讓一些廠商的業務面臨威脅。
[參考來源wiki.whatwg.org,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)]
![應用層的HTTP和HTTPS協定一、HTTP是什麼?二、HTTP協定三. HTTP方法四. HTTP的狀态碼五. HTTP常見header(報頭)六. Cookie七. HTTP和HTTPS總結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)