55.jpg
本文描述了一個關于 http 協定中 referer 的 metadata 參數的提議,使用這個 metadata 參數,html 文檔可以控制 http 請求中的 referer ,比如是否發送 referer、隻發送 hostname 還是發送完整的 referer 等。雖然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。
<a target="_blank"></a>
在某些情況下,出于一些原因,網站想要控制頁面發送給 server 的 referer 資訊的情況下,可以使用這一 referer metadata 參數。
社交網站一般都會有使用者個人頁面,這些頁面中使用者都有可能添加一些外網的連結,而社交網站有可能不希望在使用者點選了這些連結的時候,洩露使用者頁面的 url ,因為這些 url 中可能包含一些敏感資訊。當然,有些社交網站可能隻想在 referer 中提供一個 hostname,而不是完整的 url 資訊。
有些使用了 https 的網站,可能在 url 中使用一個參數(sid 等)來作為使用者身份憑證,而又需要引入其他 https 網站的資源,這種情況下,網站肯定不希望洩露使用者的身份憑證資訊。
有些網站遵循object-capability discipline,而 referer 剛好與這一政策相悖,是以,網站能夠控制 refeer 将對 object-capability discipline 很有利。
referer 的 metedata 參數可以設定為以下幾種類型的值:
never
always
origin
default
如果在文檔中插入 meta 标簽,并且 name 屬性的值為 referer,浏覽器用戶端将按照如下步驟處理這個标簽:
如果 meta 标簽中沒有 content 屬性,則終止下面所有操作
将 content 的值複制給 referrer-policy ,并轉換為小寫
檢查 content 的值是否為上面 list 中的一個,如果不是,則将值置為 default
上述步驟之後,浏覽器後續發起 http 請求的時候,會按照 content 的值,做出如下反應(下面 referer-policy 的值即 meta 标簽中 content 的值):
如果 referer-policy 的值為never:删除 http head 中的 referer;
如果 referer-policy 的值為default:如果目前頁面使用的是 https 協定,而正要加載的資源使用的是普通的 http 協定,則将 http header 中的 referer 置為空;
如果 referer-policy 的值為 origin:隻發送 origin 部分;
如果 referer-policy 的值為 always:不改變http header 中的 referer 的值,注意:這種情況下,如果目前頁面使用了 https 協定,而要加載的資源使用的是 http 協定,加載資源的請求頭中也會攜帶 referer。
如果頁面中包含了如下 meta 标簽,所有從目前頁面中發起的請求将不會攜帶 referer:
如果頁面中包含了如下 meta 标簽,則從目前頁面中發起的 http請求将隻攜帶 origin 部分(注:根據原文中的語境,我了解這裡的 origin 是包含了 schema 和 hostname 的部分 url,不包含 path 等後面的其他 url 部分),而不是完整的 url :
注意:在使用本文中所述的 meta 标簽的時候,浏覽器原有的 referer 政策将被打破,比如從 http 協定的頁面跳轉到 https 的頁面的時候,如果設定了适當的值,也會攜帶 referer。
這與 rel=noreferer 有什麼關系呢?可能 rel=noreferer 會覆寫掉本文中的 meta 标簽所設定的值。也就是功能覆寫。
origin 資訊不是一個完整的 url,是以浏覽器用戶端估計會在 origin 後面加一個 / 來作為 path 部分。
如果 origin 是唯一的,會發生什麼情況呢?估計 referer 會被忽略。
原文釋出時間:2015-05-06
本文來自雲栖合作夥伴“linux中國”
![<meta>标簽用法,不看會後悔![圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)