浏览器可以拒绝任何不来自预定义位置的任何内容,从而防止外部注入的脚本和其他此类恶意内容。...(HTTPS > HTTP Sites) Referrer 信息被广泛用于网络访问流量来源分析,它是众多网站数据统计服务的基础,例如 Google Analytics 和 AWStats,基于Perl...) Referrer-Policy: origin //在任何情况下,仅发送文件的源作为引用地址 Referrer-Policy: origin-when-cross-origin //对于同源的请求,...会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源 Referrer-Policy: same-origin //对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。...//对于同源的请求,会发送完整的URL作为引用地址 Referrer-Policy: unsafe-url //无论是否同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。
hevue-img-preview 简介 本组件基于 vue 编写,仅传入一个图片地址,即可实现图片预览效果,比较适合给文章及页面的所有图片添加预览效果,预览背景色,关闭按钮颜色,控制条的背景也和字体颜色都可自定义...$hevueImgPreview(url) } } 可配置项 this....$hevueImgPreview() 方法可以接收一个字符串类型的 url,或者对象类型的配置,具体使用方法如下 this.$hevueImgPreview('img.png') this....$hevueImgPreview({url: 'img.png'}) 可配置项如下 字段 值 备注 url http://shiliqingshan.com/web/static/img...不过为了满足大家个性化的要求,本插件尽量的做到了个性化定制,可以自己搭配出符合项目主题的配色,如果有疑问,请评论
这样就可以一定程度上避免其他网站盗取自身服务器信息,或者可以通过referer来实现广告流量引流,说白了,referer是一种客户端带到服务器的客户端信息,而Referrer-Policy则是客户端对这个带信息策略的配置...no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url; 三、API Referrer-Policy...在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。 origin 在任何情况下,仅发送文件的源作为引用地址。...origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。...unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。
Referrer丢失的几个场景 修改Location对象进行页面导航 Location对象是一个用于页面导航的非常实用的对象。因为他允许你只变更Url的其中一部分。...Referrer丢失对于广告流量监控的影响 Referrer如果丢失,Web Analytics就会丢掉很重要的一部分信息了,特别对于广告流量来说,就无法知道实际来源了。...很多流量统计工具会因此将这部分流量归入“直接流量”,和用户直接键入网址等价了。 对于这样的情况,需要让广告投放者在投放广告的时候,给着陆页面的Url加上特定的跟踪参数。...例如,某个Flash广告,点击之后到达的网址是http://www.example.com/,为了监控此流量是从哪个渠道过来的,我们可以修改此投放的着陆Url,改成http://www.example.com...这样就可以知道广告流量对应于哪个广告系列,哪个广告来源和广告关键词等信息了。和上面提到的思路其实是类似的。只不过Google自动帮你做了Url的修改了而已。 ?
2020-04-22 16:46:34 Referrer-Policy通俗点就是Referrer的策略,指的是当前页面的referer应该如何设置的问题。...我们众所周知的图片防盗链采用的方式就是判断referer,允许某个域名的来源可以访问图片,服务器接口也可以通过referer来判断是否允许请求者请求该页面或接口,做到保护限制的作用。...一般情况下我们都会允许referer为空时访问,所以这也为避开防盗链开了一个后门。...在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。 origin 在任何情况下,仅发送文件的源作为引用地址。...origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送当前url的源。
图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。...referer 是完全可以伪造一个官方的 URL 这样也也就也可以饶过限制?)...比较常见的是一些小站盗用大站的资源( 图片、音乐、视频),对于这些小站来说,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。...你可以将其放在根目录或项目的子目录 上面这段代码也是很容易理解的: RewriteCond %{HTTP_REFERER} !^$ [NC] 允许空的来源,即用户浏览器手动属于则允许访问文件。...在 HTML 代码的 head 中添加一句 <img referrer="no-referrer|origin
允许的值如下: public :所有内容都将被缓存(客户端和代理服务器都可缓存) private :内容只缓存到私有缓存中(仅客户端可以缓存,代理服务器不可缓存) no-cache :不缓存,前提是通过服务器的缓存验证机制...-- referrer 控制http请求头的referer,暂时没想到什么实际应用场景 --> https)则发送origin作为 referrer,但是当目的地是较不安全的(https->http...-- origin-when-crossorigin 在同源请求下,发送完整的URL(不含查询参数),其他情况下则仅发送当前文档的origin --> origin-when-crossorigin <meta name="<em>referrer</em>" content
服务器也想知道,你的"引荐人"是谁? HTTP 协议在请求(request)的头信息里面,设计了一个Referer字段,给出"引荐网页"的 URL。 ? 这个字段是可选的。...一个典型的应用是,有些网站不允许图片外链,只有自家的网站才能显示图片,外部网站加载图片就会报错。它的实现就是基于Referer字段,如果该字段的网址是自家网址,就放行。...这里举两个例子,都不适合暴露 URL。一个是功能 URL,即有的 URL 不要登录,可以访问,就能直接完成密码重置、邮件退订等功能。另一个是内网 URL,不希望外部用户知道内网有这样的地址。...这时,不希望暴露用户所在的原始网址,但是可以暴露社交网站的域名,让对方知道,是我贡献了你的流量。 四、rel属性 由于上一节的原因,浏览器提供一系列手段,允许改变默认的Referer行为。...六、Referrer Policy 的用法 Referrer Policy 有多种使用方法。
(1) referrer 控制所有从该文档发出的 HTTP 请求中 HTTP Referer 头的内容: referrer...no-referrer-when-downgrade 当目的地是先验安全的(https->https)则发送 origin 作为 referrer ,但是当目的地是较不安全的 (https->http)...这个是默认的行为。 origin-when-crossorigin 在同源请求下,发送完整的URL (不含查询参数) ,其他情况下则仅发送当前文档的 origin。...unsafe-URL 在同源请求下,发送完整的URL (不含查询参数)。...HTTP Referer 头: Referer 请求头字段允许由客户端指定资源的 URI 来自于哪一个请求地址,这对服务器有好处。
通过图片服务器检查 Referer 是否来自规定的域名(白名单),而进行防盗链。 在浏览器中输入防盗链图片地址是能直接访问的。...1.全局下 请求都不带 referer 标题 含义 no-referrer 整个 Referer 首部会被移除...origin 在任何情况下,仅发送文件的源作为引用地址。例如 example.com/page.html 会将 example.com/ 作为引用地址。...origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。...unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。
-- 允许控制加载资源 --> <!...服务器端在拿到这个referrer值后就可以进行相关的处理,比如图片资源,可以通过referrer值判断请求是否来自本站,若不是则返回403或者重定向返回其他信息,从而实现图片的防盗链。...,然后服务器端用此字段来判断是否允许跨域。
在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。 origin 在任何情况下,仅发送文件的源作为引用地址。...origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。...strict-origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部...unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。...解决: 通过修改http响应头部的Referrer-Policy字段来指定所使用的referrer规则。
当然还有其他情况下需要referrer的值,比如最近公司所做的项目中,有一个请求由于请求头过大导致响应是400,我们的Referrer Policy是默认的情况,显示的referrer是完整的URL信息...,该URL带了很多敏感数据比如加密后的token,sessionID等,长度特别长,请求头中的cookie和请求的URL也带着很大块的信息,最终我们决定让referrer只携带网站根地址的信息而不是其完整路径...strict-origin 该策略更为安全些,和origin策略相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。...和origin-when-cross-origin相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。...unsaft-url 浏览器总是会将完整的URL信息显示在referrer字段中,无论请求发给任何网站。 Referrer-Policy更改方法 可以有以下5种方法: 1.
记录在 leancloud 中的访问源数组 referrer referrer 属性可返回载入当前文档的文档的 URL。...→HTTPS,或者HTTP→HTTP)则在referrer中显示完整的源网站的URL信息。...strict-origin:该策略更为安全些,和origin策略相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。...:和origin-when-cross-origin相似,只是不允许referrer信息显示在从https网站到http网站的请求中(安全降级)。...unsafe-url:浏览器总是会将完整的URL信息显示在referrer字段中,无论请求发给任何网站。
自己网站作为引用,在pc端任何地方都显示:"本图片来自微信公众号,未经许可,不能引用..."...这里了解一下referer是什么: referrer 属性可返回载入当前文档的文档的 URL。 如果当前文档不是通过超级链接访问的,则为 null。...这个属性允许客户端 JavaScript 访问 HTTP 引用头部。...meta 标签,则从当前页面中发起的 http请求将只携带 origin 部分(注:根据原文中的语境,我理解这里的 origin 是包含了 schema 和 hostname 的部分 url,不包含...path 等后面的其他 url 部分),而不是完整的 URL : 注意:在使用本文中所述的 meta 标签的时候,浏览器原有的
这里有意思的一点:referer 实际上是 "referrer" 误拼写。Referrer-Policy 标头以及 JavaScript 中的 referrer 拼写是没有问题的。...origin 在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。...origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。...unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。...在相同的来源内,Referer 标头值为完整的 URL 。
2种跳转方式造成来源的不同,是因为在重定向一般都会传递来源的referrer信息,而通过Javascript的跳转,这种情况下浏览器会修改referrer信息。 ? *谷歌分析工具 ?...如果这种跳转方式是重定向,那么统计工具会将无视A页面的存在,将B页面的访问来源将统计为来自社交网站。这种情况跟上述的AB同站是很相似的,同样是将通过重定向跳转的A页面,给忽略得一干二净。...举个例子,当跳转后的URL带的参数为utm_source=facebook&utm_medium=social,则此次访问会被Google Analytics认为是来自Facebook,而不会被认为是直接访问或者来自微博...URL更新后,把旧URL用合适的方式跳转到新的URL,能避免旧URL无法打开内容,也将PR集中到新的URL,有效避免了权重的流失。 然而,页面跳转也有弊端。...从访问分析的角度,页面跳转可能影响正确的流量来源,引起广告媒体与网站统计工具数据不一致。页面跳转的过程会浪费一定的时间,延缓网页打开速度,同时也增加访问出错的概率。
404 当查询到内容时,页面会返回内容且状态码为200 当没有查询到内容时,页面直接返回404 2、加载内容的差异 这里我们关注到index.html引用的uwu.js let u = new URL...,页面会内加载来自于youtube的视频,只要是加载就会出现时延。...当该值为deny时,该页面不允许被任何页面应用也不允许引用任何页面。 当该值为sameorigin时,该页面只能引用同源的页面。...Referrer-Policy: strict-origin-when-cross-origin Referrer-Policy: unsafe-url 这个头实际上主要围绕referer的配置 当被设置为...1), postMessage({ action: "ping" }) } 页面会将收到的消息插入到页面内,且并没有什么过滤,所以我们主要需要绕过的是来自于源的限制
[▲图1.一些做得好的 会和主页面融为一体,如右侧] 在 HTTP 协议里,如果【A资源】发起了对【B资源】的互联请求,表明该请求来自【A资源】的信息会体现在【B资源】的「referer...类型的 URL 跳转到 HTTP 类型的 URL,浏览器就不需要发送 referer 请求头; same-origin 只有发起端和目标端是同源时,浏览器才发送 referer 请求头。...,发送包含完整 URL 的 referer 请求头;如果是非同源的资源,则 referer 请求头里只有域名信息,没有完整 URL; strict-origin-when-cross-origin 和上一条类似...,但协议的安全等级降低时就不发送 referer 请求头了; unsafe-url 无论是否同源,都发送完整 URL 的 referer 请求头。...这种设置仅适用于安全渗透测试练手,以及希望准确评估网站安全风险代码时使用。 [▲图5.JavaScript代码执行成功,看到弹窗] 测试二 设置 X-XSS-Protection:1。 这是默认设置。
隐私 社交网站一般都会有用户个人页面,这些页面中用户都有可能添加一些外网的链接,而社交网站有可能不希望在用户点击了这些链接的时候,泄露用户页面的 URL ,因为这些 URL 中可能包含一些敏感信息。...,浏览器客户端将按照如下步骤处理这个标签: 1.如果 meta 标签中没有 content 属性,则终止下面所有操作 2.将 content 的值复制给 referrer-policy ,并转换为小写...等后面的其他 url 部分),而不是完整的 URL : 注意:在使用本文中所述的 meta 标签的时候,浏览器原有的 referer...的方法,有时候允许 referer 为空,并且某些 BAT 厂商的重要业务在防御 JSON 劫持的时候,也采用校验 referer 的方法并允许 referer 为空,也许你会觉得本文中描述的只是一种提议...[参考来源wiki.whatwg.org,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
