host、referer和origin的区别

挥刀北上

发布于 2019-07-19 15:25:50

14.1K0

发布于 2019-07-19 15:25:50

在http协议中这三个请求头比较容易让人产生混淆。

host比较容易理解，来看下MDN网站给的介绍：

Host 请求头指明了服务器的域名（对于虚拟主机来说），以及（可选的）服务器监听的TCP端口号。如果没有给定端口号，会自动使用被请求服务的默认端口（比如请求一个HTTP的URL会自动使用80端口）。 HTTP/1.1 的所有请求报文中必须包含一个Host头字段。如果一个 HTTP/1.1 请求缺少 Host 头字段或者设置了超过一个的 Host 头字段，一个400（Bad Request）状态码会被返回。

从上面的文字中可以总结出如下信息：

1、host的值为客户端请求的服务器的域名（或者ip）和端口

2、http/1.1中必须包含host请求头，且只能设置一个；

那么host主要用在什么地方呢？

host用的最多的场景是：单台服务器设置多个虚拟主机时。

举个简单的例子：我在IP地址为127.0.0.1的服务器上，通过apache配置了两个虚拟主机：a.com,b.com，这两个域名通过DNS解析都会指向127.0.0.1，我在浏览器中访问a.com的网站时，DNS将域名转化为IP地址，此时可以通过客户端请求头的host信息判断访问的是服务器上对应的虚拟主机。

如图：

如果没有host请求头，客户端的请求就不能标记出该访问哪个虚拟主机了。

接着看一下MDN对referer的介绍：

Referer 首部包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 首部识别访问来源，可能会以此进行统计分析、日志记录以及缓存优化等。需要注意的是 referer 实际上是 "referrer" 误拼写。

在以下两种情况下，Referer 不会被发送：

1.来源页面采用的协议为表示本地文件的 "file" 或者 "data" URI；

2.当前请求页面采用的是非安全协议，而来源页面采用的是安全协议（HTTPS）。

3.直接输入网址或通过浏览器书签访问

4.使用 JavaScript 的 Location.href 或者是 Location.replace()

5.使用html5中noreferrer

<a href="/test/index.php?noreferer" rel="noreferrer" target="_blank">noreferrer</a> 
<a href="/test/index.php?noreferer" rel="noreferrer" target="_blank">noreferrer</a>

6.使用 Referer Meta 标签控制 referer 使用场景，具体参考如下文章：https://www.jb51.net/article/137982.htm

7.使用iframe的hack写法去除referer。

这里给大家举一个例子，百度的图片防盗链：

html代码如下：