讓https網站發送 referrer https 與 http 跳轉 referer 的問題

2024-08-30 08:36:08

字體：大中小

來源：轉載

供稿：網友

本文描述了一個關于 http 協議中 referer 的 metadata 參數的提議，使用這個 metadata 參數，html 文檔可以控制 http 請求中的 referer ，比如是否發送 referer、只發送 hostname 還是發送完整的 referer 等。雖然有一些方法可以控制 referer ，比如 flash，以及一些 js 的 tricks，但是本文中描述的是另外一番景象。

使用場景

在某些情況下，出于一些原因，網站想要控制頁面發送給 server 的 referer 信息的情況下，可以使用這一 referer metadata 參數。

隱私

社交網站一般都會有用戶個人頁面，這些頁面中用戶都有可能添加一些外網的鏈接，而社交網站有可能不希望在用戶點擊了這些鏈接的時候，泄露用戶頁面的 URL ，因為這些 URL 中可能包含一些敏感信息。當然，有些社交網站可能只想在 referer 中提供一個 hostname，而不是完整的 URL 信息。

安全

有些使用了 https 的網站，可能在 URL 中使用一個參數(sid 等)來作為用戶身份憑證，而又需要引入其他 https 網站的資源，這種情況下，網站肯定不希望泄露用戶的身份憑證信息。

Object-Capability Discipline

有些網站遵循Object-Capability Discipline，而 referer 剛好與這一策略相悖，所以，網站能夠控制 refeer 將對 Object-Capability Discipline 很有利。

技術細節

referer 的 metedata 參數可以設置為以下幾種類型的值：

never
always
origin
default

如果在文檔中插入 meta 標簽，并且 name 屬性的值為 referer，瀏覽器客戶端將按照如下步驟處理這個標簽：

1.如果 meta 標簽中沒有 content 屬性，則終止下面所有操作
2.將 content 的值復制給 referrer-policy ，并轉換為小寫
3.檢查 content 的值是否為上面 list 中的一個，如果不是，則將值置為 default

上述步驟之后，瀏覽器后續發起 http 請求的時候，會按照 content 的值，做出如下反應(下面 referer-policy 的值即 meta 標簽中 content 的值)：

1.如果 referer-policy 的值為never：刪除 http head 中的 referer；
2.如果 referer-policy 的值為default：如果當前頁面使用的是 https 協議，而正要加載的資源使用的是普通的 http 協議，則將 http header 中的 referer 置為空；
3.如果 referer-policy 的值為 origin：只發送 origin 部分；
4.如果 referer-policy 的值為 always：不改變http header 中的 referer 的值，注意：這種情況下，如果當前頁面使用了 https 協議，而要加載的資源使用的是 http 協議，加載資源的請求頭中也會攜帶 referer。

例子

如果頁面中包含了如下 meta 標簽，所有從當前頁面中發起的請求將不會攜帶 referer：

<meta name="referrer" content="never">

如果頁面中包含了如下 meta 標簽，則從當前頁面中發起的 http請求將只攜帶 origin 部分（注：根據原文中的語境，我理解這里的 origin 是包含了 schema 和 hostname 的部分 url，不包含 path 等后面的其他 url 部分），而不是完整的 URL ：

<meta name="referrer" content="origin">

注意：在使用本文中所述的 meta 標簽的時候，瀏覽器原有的 referer 策略將被打破，比如從 http 協議的頁面跳轉到 https 的頁面的時候，如果設置了適當的值，也會攜帶 referer。

其他問題

這與 rel=noreferer 有什么關系呢？可能 rel=noreferer 會覆蓋掉本文中的 meta 標簽所設置的值。也就是功能覆蓋。
origin 信息不是一個完整的 url，所以瀏覽器客戶端估計會在 origin 后面加一個 / 來作為 path 部分。
如果 origin 是唯一的，會發生什么情況呢？估計 referer 會被忽略。

譯者注

這篇文章最初寫于2012年，目前在原始頁面已經是廢棄狀態，并且已經提供了w3c 的referer-policy 頁面，但是，譯者注意到，目前很多網站在防御 CSRF 的時候，都采用校驗 referer 的方法，有時候允許 referer 為空，并且某些 BAT 廠商的重要業務在防御 JSON 劫持的時候，也采用校驗 referer 的方法并允許 referer 為空，也許你會覺得本文中描述的只是一種提議，但是，FireFox 在21日的一篇文章中已經聲明，從 Firefox 36 Beta 開始，將會支持 referer-policy，這無疑會讓一些廠商的業務面臨威脅。

[參考來源wiki.whatwg.org，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）]

https 與 http 跳轉 referer 的問題

Http協議頭中的Referer主要用來讓服務器判斷來源頁面, 即用戶是從哪個頁面來的。獲取方式：$_SERVER[ 'HTTP_REFERER' ]

在https->http跳轉中，refer是不建議被傳遞的，而https->https和http->https則沒有這個問題。

例如我獲取二維碼接口地址：

正確的效果

https://qrcode.artron.net/?text=https|http://m-exhibit.artron.net/&el=10&margin=1

錯誤的效果

http://qrcode.artron.net/?text=https://m-exhibit.artron.net/jump/index

驗證結果顯示，https 可以兼容http的一些參數問題，而http不能兼容https的參數問題，在這里順便說一下http與https的區別

超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協議不適合傳輸一些敏感信息，比如信用卡號、密碼等。
為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

HTTPS和HTTP的區別主要為以下四點：

一、https協議需要到ca申請證書，一般免費證書很少，需要交費。
二、http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。
三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
四、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

以下是對問題的回答：

根據上文的說明，一般情況下，從HTTPS站到HTTP站點的跳轉，瀏覽器默認不發送referrer，可以通過大概兩種辦法讓瀏覽器傳送referrer:

1，在A站的head中加入