跨站点document.referrer在chrome更新后不工作

跨站点document.referrer在Chrome更新后不工作是因为Chrome浏览器在安全性方面进行了更新，以保护用户的隐私和安全。在过去，跨站点document.referrer属性可以被用来获取用户从哪个网站链接到当前页面，但这也可能导致隐私泄露和安全问题。

为了解决这个问题，Chrome浏览器在更新后对跨站点document.referrer属性进行了限制。现在，当用户从一个网站跳转到另一个网站时，跨站点document.referrer属性将只返回一个空字符串，而不是之前的URL。

这个更新主要是为了保护用户的隐私，防止恶意网站通过获取跨站点document.referrer属性来追踪用户的浏览行为。然而，这也给一些合法的使用场景带来了一些困扰，比如一些网站可能需要根据跳转来源来进行一些特定的操作。

在这种情况下，可以考虑使用其他方法来获取跳转来源的信息。一种常见的方法是使用URL参数来传递信息，比如在链接中添加一个特定的参数来标识跳转来源。另外，也可以通过服务器端来获取跳转来源的信息，比如通过HTTP请求头中的Referer字段来获取。

总结起来，跨站点document.referrer在Chrome更新后不再工作，这是为了保护用户隐私和安全。可以通过其他方法来获取跳转来源的信息，比如使用URL参数或服务器端获取HTTP请求头中的Referer字段。

相关·内容

标签 rel 属性详解

SEO 的作用调整网页链接的权重，集中站点权重添加 nofollow 后，爬虫不会追踪有此标记的链接。并且，不会传递当前站点的权重到新的链接，避免被分散。...反垃圾链接网站通常有留言功能，一些人会利用这个功能，在评论的时候，留下自己站点的链接。加上 nofollow 进行屏蔽后，可以防止当前站点的权重流失。...robots 主要用于屏蔽动态链接，让搜索引擎不爬取动态链接的内容。 nofollow 让搜索引擎不要跟踪标记了该属性的链接，使其不传递权重。...referrer="+document.referrer; } 复制代码链接加上 rel="noopener" 后，则新页面被限制访问 window.opener。...同时，新页面无法获取 document.referrer 信息，该信息包含了来源页面的地址。

2.1K3 0

Document.Referrer丢失的几个原因

在Javascript中，我们可以通过document.referrer来获取同样的信息。通过这个信息，我们就可以知道访客是从什么渠道来到当前页面的。...javascript:alert(document.referrer) 测试结果： IE5.5+ 下返回空字符串 Chrome3.0+，Firefox3.5，Opera9.6，Safari3.2.2...代码如下： var referrer = document.referrer; if (!...referrer) { try { if (window.opener) { // IE下如果跨域则抛出权限异常...} } catch (e) {} } 跨域的话则没辙了~ 鼠标拖拽打开新窗口鼠标拖拽是现在非常流行的用户习惯，很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览

4.1K2 0

Chrome 新的默认 Referrer-Policy : strict-origin-when-cross-origin

如果你的站点有使用 Referer 标头收集网页的访问来源信息，则此策略变化可能对你的程序造成影响，请仔细阅读。...对于导航和 iframe, Referer 头中的数据也可以通过 JavaScript 使用 document.referrer 访问。...no-referrer-when-downgrade 是跨浏览器的一种广泛的默认策略。但是现在，许多浏览器正处于向更多提高隐私的默认设置过渡的阶段。...Chrome 计划在85版开始将其切换默认策略 no-referrer-when-downgrade 更换到 strict-origin-when-cross-origin。...例如，在一个跨域请求中：从 https://site-one.example/stuff/detail?

103.3K4 0

两个你必须要重视的 Chrome 80 策略更新！！！

Chrome 80 版本在 2020年2月份正式发布了，随后又陆续更新了几个小版本，本次升级主要是更新了安全修复和稳定性改进以及用户体验优化。...SameSite 可以避免跨站请求发送 Cookie，有以下三个属性： Strict Strict 是最严格的防护，将阻止浏览器在所有跨站点浏览上下文中将 Cookie 发送到目标站点，即使在遵循常规链接时也是如此...None 浏览器会在同站请求、跨站请求下继续发送 Cookies，不区分大小写。...策略更新在旧版浏览器，如果 SameSite 属性没有设置，或者没有得到运行浏览器的支持，那么它的行为等同于 None，Cookies 会被包含在任何请求中——包括跨站请求。...以上更新可能对以下功能造成影响：跨域名登陆失效 jsonp 获取数据失效 iframe 嵌套的页面打不开或异常部分客户端未改造导致各种数据获取异常建议大家针对上述更新对自己的站点功能在新版浏览器下做一些测试

4.1K4 0

a标签 rel=“external nofollow“ 用法

很多博客程序都会自动在评论链接中加上 nofollow 标签。...为了告知来自于不受保护的站点的用户，我们运行一个利用了这个缺陷的脚本。...referrer="+document.referrer; } 我相信绝大多数站点都没有恰当地处理这个问题，为了限制 window.opener的访问行为，原始页面需要在每个使用了target...）中可以通过 window.opener获取到源页面的部分控制权，即使新打开的页面是跨域的也照样可以（例如 location 就不存在跨域问题）。 ...rel=noopener 新特性在chrome 49+，Opera

1.4K2 0

Xss和Csrf介绍

Xss攻击的分类反射型Xss攻击存贮型Xss攻击 DOMBasedXSS 反射型Xss攻击又称为非持久性跨站点脚本攻击，它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。...举个栗子：一个简单的留言板功能，表单提交域如下，攻击者在value填写 alert...DOMBasedXSS（基于Dom的跨站点脚本攻击）当用户能够通过交互修改浏览器页面中的DOM(DocumentObjectModel)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来说它也是反射型...前提是易受攻击的网站有一个HTML页面采用不安全的方式从document.location或document.URL或document.referrer获取数据（或者任何其他攻击者可以修改的对象），所以应该避免直接从...document.location或document.URL或document.referrer获取数据。

9739 0

原型链上的DOM Attributes

这可以让Chrome与Web IDL标准以及其他浏览器（IE和Firfox）保持一致。注：旧的基于Webkit的浏览器与标准不兼容但是safari已经与标准兼容了。...这项更新有很多好处：因为遵循了规范，所以跨浏览器的兼容性更好（IE和Firefox早就与规范保持一致了）让开发者一致且高效地创建DOM对象上的getter/setter 提高DOM编程的灵活性。...这些更新对Web平台的一致性、性能和规范化都很重要。当然这也会带来一些不兼容的问题。如果你以前依赖过Chrome或Webkit的这个特性，强烈建议检查下自己的站点并阅读下面的更新总结。...Chrome 42及以前的版本下，如下代码可以正常工作： > JSON.stringify(subscription); { "endpoint": "https://something",...那么那个站点的开发者可以做如下事情：在Chrome的issur tracker上提交一个关于受影响站点的issue 为Webkit提交一个issue：https://bugs.webkit.org/show_bug.cgi

7363 0

百度站长链接提交的js代码推送进化版

安装代码的页面在任意平台（浏览器、微信、微博）被加载时，页面链接会被第一时间推送给百度，从而提高站点新内容的发现速度。...function(){var e=/([http|https]:\/\/[a-zA-Z0-9\_\.]+\.baidu\.com)/gi,r=canonicalURL,t=document.referrer...r="+encodeURIComponent(document.referrer),r&&(n+="&l="+r)):r&&(n+="?...需要注意的是百度随时可能更新这两个 js 文件的内容，虽然该功能上线后一直没有更新不代表以后不会更新，因此需要手动及时更新代码。沈唁志|一个PHPer的成长之路！

2.3K6 0

网站被攻击被跳转到了博彩网的木马清理过程记录

访问站点只要后面目录带apk（不管是文件还是目录），就会判断请求头，如果为手机移动端的请求头,就会跳转到博彩网站，如果是电脑PC浏览器，就会弹空白页访问站点，让你看不到跳转后的网址，只要域名后面地址带apk...网站在百度里的收录增加许多，本来以为是更新的文章导致的，可是仔细一想也没那么多的收录呀，site:网站，点击到十页以后竟然发现了问题的关键，百度收录了一大堆我们网站没有的URL链接，复制那个我们域名的链接...赶紧打开服务器里的各个站点，下载网站程序代码到本地，然后挨个对每一个代码进行查看，查看是不是网站被黑客植入了木马后门，果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码： functiongo_bots_url...去除掉恶意代码后，网站从百度搜索点击进来的也正常显示了，真是太无耻了，在服务器中查看隐藏属性的文件普通肉眼是看不到的，需要用专门的SINESAFE木马查杀工具才能看到，怪不得我找了大半天都没找到问题根源...接下来的工作就是抓紧修复网站漏洞，以及对服务器上的所有站点进行排查和漏洞修复，防止被再次攻击跳转，如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。

8512 0

学习 HTTP Referer

平常你一定会遇到一些问题需要去排查，假如这个问题在你排查完全部代码后，依然没有解决，这个时候你会怎么办？此时我们就需要将排查问题的角度转换一下，切换到 HTTP 协议上。...General Headers： // javascript document.referrer // DOM <a target="_blank" href="https://edu.zcygov.cn...工作中实际使用的场景： 在双品牌“乐彩云”推广中为降低双域名跳转改造成本，运维层面在 Nginx 添加了一个规则，若访问链接（例如 news.zcygov.cn）的 Referer 包含 lecaiyun.com...HTTPS 网址时从 HTTP 请求到 HTTP 网址时同源请求浏览器默认的策略浏览器默认的策略 Chrome Chrome 85 版本默认策略变更为：strict-origin-when-cross-origin...原策略：no-referrer-when-downgrade详细可查看：https://developer.chrome.com/blog/referrer-policy-new-chrome-default

1.6K3 0

(转) 网站统计中的数据收集原理及实现

而后用户在页面中的行为均无法收集。...注意ga.async = true的意思是异步调用外部js文件，即不阻塞浏览器的解析，待外部js下载完成后异步执行。这个属性是HTML5新引入的。...这里唯一的问题是步骤4，javascript请求后端脚本常用的方法是ajax，但是ajax是不能跨域请求的。...注意，如果没有跨站跟踪同一用户的需求，可以通过js将cookie种植在被统计站点的域下（GA是这么做的），如果要全网统一定位，则通过后端脚本种植在服务端域下（我们待会的实现会这么做）。...当然这里有一点小问题，因为我并没有https的服务器，所以如果一个https站点部署了代码会有问题，不过这里我们先忽略吧。

2K3 0

网站被跳转到恶意博彩网的木马查杀过程

访问站点只要后面目录带apk（不管是文件还是目录），就会判断请求头，如果为手机移动端的请求头,就会跳转到博彩网站，如果是电脑PC浏览器，就会弹空白页访问站点，让你看不到跳转后的网址，只要域名后面地址带apk...网站在百度里的收录增加许多，本来以为是更新的文章导致的，可是仔细一想也没那么多的收录呀，site:网站，点击到十页以后竟然发现了问题的关键，百度收录了一大堆我们网站没有的URL链接，复制那个我们域名的链接...赶紧打开服务器里的各个站点，下载网站程序代码到本地，然后挨个对每一个代码进行查看，查看是不是网站被黑客植入了木马后门，果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码： functiongo_bots_url...=-1){init_flag="apk"; 去除掉恶意代码后，网站从百度搜索点击进来的也正常显示了，真是太无耻了，在服务器中查看隐藏属性的文件普通肉眼是看不到的，需要用专门的SINESAFE木马查杀工具才能看到...接下来的工作就是抓紧修复网站漏洞，以及对服务器上的所有站点进行排查和漏洞修复，防止被再次攻击跳转，如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。

1.2K2 0

三方 Cookie 替代品 — 隐私沙盒的最新进展

意味着它可以定义跨站点上下文仍然是 first-party 的情况。 Cookie 可以包含在第一方集合中，也可以排除在第三方上下文中。...跨站点搜索攻击：攻击者可以通过检查特定网站使用的“无搜索结果”图像是否在浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...跨站点跟踪：缓存可用于存储类似 cookie 的标识符，作为跨站点跟踪机制。为了减轻这些风险，Chrome 从 Chrome 86 开始对 HTTP 缓存进行分区。...具体可以参考我这篇文章：新的浏览器缓存策略变更：舍弃性能、确保安全广告内容展示随着浏览器逐步淘汰第三方 cookie，在广告业务下，我们需要在不继续启用跨站点跟踪的情况下，使用新的 API 来替代它...详情可以看看这篇文章：https://developer.chrome.com/docs/privacy-sandbox/floc/ 数字广告的衡量方式在没有跨站点跟踪的情况下展示的广告，我们还是需要一些隐私保护机制来衡量这些广告的有效性

7471 0

浏览器测试的三大挑战及解决方案【译】

尽管如此，跨浏览器测试还是被忽视了，因为开发人员在将跨浏览器测试纳入QA工作流程时面临许多挑战。...如果企业不希望因用户体验不佳而失去客户，则必须考虑跨浏览器兼容性和跨浏览器测试。尽管目标听起来很简单，但需要QA团队必须解决许多障碍，以提高站点和 Web 应用程序的响应能力。...使用左移方法，可以在将应用程序移至生产环境之前开始在本地暂存环境中测试您的应用程序。这就必需我们进行跨浏览器测试，即使在生产中部署后，还可以跟踪和修复BUG。...如果希望针对各种浏览器和浏览器版本自动执行跨浏览器测试，那么需要有出色的工具可以帮助完成工作。...但是，所有用户不会都使用的最新版本，而且随着时间往前走，更新的版本又会出现。相反，可能需要确保客户在旧操作系统和过时浏览器（如 IE 和旧版 Edge）上的体验。因此，手动测试所有组合是不可能的。

3731 0

一篇文章带你揭秘现代浏览器原理与方法_浏览器发送请求原理

因此在Chrome 67版本之后，桌面版的Chrome会默认开启网站隔离功能，这样每一个跨站点的iframe都会拥有一个独立的渲染进程。二、一个经典问题, 导航时都发生了什么?...所以，当你在导航栏上输入一串内容的时候，Chrome到底为我们做了哪些工作? 1....这里chrome有个小优化因为网络请求的耗时可能会很⻓, 所以第二步中当UI线程发送URL链接给网络进程后，它其实已经知晓它们要被导航到哪个站点了。...到了这个时候，导航栏会被更新，安全指示符和站点设置会展示新⻚面相关的站点信息。...本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

4392 0

Clickjacking简单介绍

欺骗用户点击留在此页后显示： ? 三、XSS filter的利用 IE8以上以及Chrome浏览器都有XSS筛选器，这些可以用来对付防御frame嵌套的代码。防御代码如下： if(top!...如果跟的参数中有变量在页面中显示的，会把变量过滤一遍再输出，但不会阻止跳转。四、Referer检查的问题有一些站点允许自己的域名嵌套自己，禁止外站对自己的嵌套。...，但是手机站点没有做任何防护，很容易造成点击劫持。...并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。...x-frame-options:DENY 应该就没什么问题了另外 iframe里添加sandbox=可以禁止js，进而阻止掉js的防御方式在IE9下当设置restricted后似乎不发送cookie

1K0 0

XSS(Cross Site Scripting) 跨站脚本

XSS（Cross Site Scripting）中文名跨站脚本攻击。攻击原理是攻击者将恶意代码植入到页面中，导致浏览该页面的用户即会中招！这次主要讲讲攻击方法。...2.储存型通过表单等地方提交恶意构造代码，后端存入数据库，在显示该数据的页面会触发XSS 简单的理解就是由于过滤不严导致能写入JS代码，获得JS代码控制权后能做很多事情，常见危害如下：盗取回话控制用户操作...（CSRF）发起DDOS攻击篡改页面等等针对每一个攻击进行详细讲解：盗取会话服务器是以SESSION来识别用户，而SESSION在客户端浏览器中是存在COOKIE里！...document.createElement("img"),referrer = null,browser = null,screensize = null,system = null referrer = document.referrer.../*var bro = $.browser if(/chrome/.test(navigator.userAgent.toLowerCase())){ browser = 'Chrome' + '

4844 0

什么是Web安全

预防方法 1.5 命令行注入 1.6 DDos攻击 1.7 流量劫持 1.7.1 DNS劫持 1.7.2 HTTP劫持 1.8 关于什么是Web安全前言 Web安全主要有如下几大分类 XSS CSRF(跨站请求伪造...不需要诱骗点击，只要求攻击者在提交表单的地方完成注入即可解决方法 Web页面渲染所有内容或渲染的数据必须来源于服务器不要从 URL,document.referrer，document.forms...不需要诱骗点击，只要求攻击者在提交表单的地方完成注入即可成功条件 POST请求提交表单没有经过转义直接入库后端从数据库取出数据没有转义直接输出给前端前端拿到后端数据后没有经过转义直接渲染解决方法...后端将数据输出给前段时统一进行转义前端进行渲染时，将从后端请求过来的数据统一转义处理基于字符集的XSS 简介大部分浏览器都专门针对XSS进行转义处理，但也有很多方式可以绕过转义规则，比如web页面字符集不固定...DNS劫持就是当用户通过某一个域名访问站点时，被篡改的DNS服务器返回的是一个钓鱼站点的IP，用户就被劫持到钓鱼网站，进而隐私泄露 HTTP劫持 HTTP劫持，当用户访问某个站点时会经过运营商网络，不法运营商和黑厂勾结能够截获请求返回内容

7422 0

XSS分析及预防

XSS（Cross Site Scripting），又称跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。...XSS的种类和特点此处不详细讲解XSS的一些细节 XSS的目标是让其他站点的js文件运行在目标站点的上，这主要发生在页面渲染阶段。...另外的尝试上文提到的仅仅是对应的XSS避免方案，但是如果将目光放置在全局，站在浏览器的角度上，则会变的更为柳暗花明。现阶段，大多数浏览器都支持多种安全策略，如沙盒机制，跨域机制，跨文档消息和CSP。...webkit中的XSS组件 XSS攻击主要发生在页面的渲染时，当浏览器的渲染引擎获取到该页面并开始解析时，是可以在该阶段进行安全校验的，具体的时间节点则是在词法分析后针对每个token做过滤。...在webkit中，由HTMLDocumentParser解析得到token后，使用XSSAuditor进行过滤，具体则是在filterToken中执行，不仅仅是针对token的名称，其属性也是监测重点。

1.2K7 0

新的浏览器缓存策略变更：舍弃性能、确保安全

在 Chrome 中，缓存机制以多种方式使用，HTTP 缓存就是一个示例。...Chrome 的 HTTP 缓存当前的工作方式从 85 版开始，Chrome 会使用它们各自的资源URL作为缓存键来缓存从网络获取的资源。下面我们来看几个示例： ?...跨站点搜索攻击：攻击者可以通过检查特定网站使用的“无搜索结果”图像是否在浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...跨站点跟踪：缓存可用于存储类似 cookie 的标识符，作为跨站点跟踪机制。为了减轻这些风险，Chrome 将从 Chrome 86 开始对 HTTP 缓存进行分区。...例如，在许多站点上为大量可高度缓存的资源提供服务的站点（例如字体和流行的脚本）可能会看到其流量增加。同样，使用此类服务的人可能会越来越依赖于它们。

1.1K2 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云