如何給網(wǎng)站添加Referer驗(yàn)證
本文描述了一個(gè)關(guān)于 http 協(xié)議中 referer 的 metadata 參數(shù)的提議,使用這個(gè) metadata 參數(shù),html 文檔可以控制 http 請求中的 referer ,比如是否發(fā)送 referer、只發(fā)送 hostname 還是發(fā)送完整的 referer 等。雖然有一些方法可以控制 referer ,比如 flash,以及一些 js 的 tricks,但是本文中描述的是另外一番景象。使用場景在某些情況下,出于一些原因,網(wǎng)站想要控制頁面發(fā)送給 server 的 referer 信息的情況下,可以使用這一 referer metadata 參數(shù)。隱私社交網(wǎng)站一般都會(huì)有用戶個(gè)人頁面,這些頁面中用戶都有可能添加一些外網(wǎng)的鏈接,而社交網(wǎng)站有可能不希望在用戶點(diǎn)擊了這些鏈接的時(shí)候,泄露用戶頁面的 URL ,因?yàn)檫@些 URL 中可能包含一些敏感信息。當(dāng)然,有些社交網(wǎng)站可能只想在 referer 中提供一個(gè) hostname,而不是完整的 URL 信息。安全有些使用了 https 的網(wǎng)站,可能在 URL 中使用一個(gè)參數(shù)(sid 等)來作為用戶身份憑證,而又需要引入其他 https 網(wǎng)站的資源,這種情況下,網(wǎng)站肯定不希望泄露用戶的身份憑證信息。Object-Capability Discipline有些網(wǎng)站遵循Object-Capability Discipline,而 referer 剛好與這一策略相悖,所以,網(wǎng)站能夠控制 refeer 將對 Object-Capability Discipline 很有利。技術(shù)細(xì)節(jié)referer 的 metedata 參數(shù)可以設(shè)置為以下幾種類型的值:neveralwaysorigindefault如果在文檔中插入 meta 標(biāo)簽,并且 name 屬性的值為 referer,瀏覽器客戶端將按照如下步驟處理這個(gè)標(biāo)簽:1.如果 meta 標(biāo)簽中沒有 content 屬性,則終止下面所有操作2.將 content 的值復(fù)制給 referrer-policy ,并轉(zhuǎn)換為小寫3.檢查 content 的值是否為上面 list 中的一個(gè),如果不是,則將值置為 default上述步驟之后,瀏覽器后續(xù)發(fā)起 http 請求的
聯(lián)系我們,獲取專業(yè)解決方案
互聯(lián)網(wǎng)數(shù)字產(chǎn)品開發(fā)與服務(wù)。
為企事業(yè)單位提供全面的互聯(lián)網(wǎng)整合營銷解決方案。
