问题标签 [referrer-policy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
http - 删除 http 引用
是否可以在请求标头中删除或隐藏 http referer 信息?我想使用可能在 javascript python 或 django 中的脚本从我的站点中删除访问其他站点的用户的 http 引荐来源信息
例子:
security - 在什么情况下 HTTP_REFERER 会为空
我知道有可能得到一个空的 HTTP_REFERER。在什么情况下会发生这种情况?如果我得到一个空的,是否总是意味着用户更改了它?得到一个空的和得到一个空的一样吗?在什么情况下我也会得到它?
html - 从脚本 src 中去除引用者
我正在做一个远程脚本-src
我不想将我的 http 引用标头发送到 thirdparty.com。我该怎么做?
javascript - 为什么没有为 Google HTTPS -> HTTP 删除 Referer 标头?
如果引用页面是使用安全协议传输的,则客户端不应
Referer
在(非安全)HTTP 请求中包含标头字段。” https://www.rfc-editor.org/rfc/rfc2616#section-15.1.3
根据标准,https://google.com不应将Referer
标头发送到非安全站点,但确实如此。其他 HTTPS 站点是否将Referer
标头发送到 HTTP 站点?
所有这些测试都是使用 Chrome v33.0.1750.117 完成的
要运行测试,我转到第一页,然后打开控制台并手动执行重定向,使用location = "http://reddit.com"
:
https://google.com -> http://www.reddit.com
Referer
标题被保留https://startpage.com/ -> http://www.reddit.com
Referer
标头被剥离https://bankofamerica.com -> http://reddit.com
Referer
标头被剥离https://facebook.com -> http://reddit.com
Referer
标头被剥离
谷歌是否在做一些特别的事情来保留Referer
标题?是否有保留Referer
标头的 HTTPS 站点列表?是否还有其他情况Referer
可以删除标头?
javascript - 搜索结果点击后Google如何设置HTTP Referrer
例如,此页面上的第一个搜索结果会导致较旧的 SO 问题,并带有以下 HTTP 请求:
注意:
- Referer 标头中仅包含域,没有查询字符串。
- Google 通过 HTTPS 打开,而 SO 通过纯 HTTP 打开 - 尽管如此,Referer 标头是由浏览器发送的。
- 不涉及服务器端重定向,单击后打开的第一个 HTTP 查询是到目标站点。
问题是,他们如何做到这一点?
http - 如何在 HTTP Referrer 中不包含 URL 查询字符串
确保查询字符串不包含在 HTTP 引荐来源数据中的最佳方法是什么?
我注意到一些潜在的敏感信息(例如,实际上不需要 SSL 的 UTM 字段)可能会泄漏。
目标是针对原始 URL,例如:
仅作为推荐人传递:
我已经阅读了有关推荐人策略元指令 (
<meta name="referrer" content="origin">
) 的信息,但它似乎没有得到广泛实施。
javascript - 错误 int 未能设置引荐来源网址政策
我在我正在处理的 Wordpress 网站的 chrome 控制台中收到以下错误。
未能设置推荐人策略:值“ http://example.com/comic/ ”不是“总是”、“默认”、“从不”、“无推荐人”、“无推荐人时降级”之一'、'origin'、'origin-when-crossorigin' 或 'unsafe-url'。推荐人政策保持不变。
<head>
它引用HTML 文档中的这一行...
我正在浏览页面http
,不是https
。
是什么导致了这个问题,我该如何解决?
security - 有效,Referrer-Policy 标头无效
我们正在将我们的联邦政府网站迁移到仅限 https。我们收到了来自我们链接的网站的投诉,称当这些网站仅使用 http 时,我们的推荐人已经消失。这是因为 https->http 降级,默认情况下会隐藏引荐来源网址。
我们正在尝试使用 HTTP 请求标头Referrer-Policy: origin-when-cross-origin
,但它似乎不起作用。但是,put<meta name='referrer' content='origin-when-cross-origin'>
确实为大多数浏览器提供了正确的行为。
我们正在设置标题:
但该标题不起作用:
试试这个:https://www.ncbi.nlm.nih.gov/corecgi/tests/testref.cgi 注意 https->http 降级链接发送一个空白标题
然而它的<meta>
元素给出了所需的行为:
https ://www.ncbi.nlm.nih.gov/corecgi/tests/testref.cgi?meta=true
有没有其他人遇到过并解决了这个问题?
nginx - 如何使用 nginx 设置推荐人策略
我的 CMS(https) 和图像服务器(http) 是分开的。我已经设置了我的图像服务器,以便它只能服务于列入白名单的引荐来源网页。现在我的问题是如何允许 CMS 服务器将响应标头发送到图像服务器,以便 CMS 可以显示图像?我发现在 html 中给出这个 html 元标记将显示图像。
但是是否可以在不编辑每个 html 页面并在服务器端执行此操作的情况下执行此操作?我在 Nginx v1.10.2
http - 在什么情况下 HTTP referer 会被截断
我试图了解 HTTP 引用标头的行为。我注意到有时引用者是完整的(完整的 URL,包括路径和查询字符串),但大多数情况下它只包括域。
例如 ' https://www.google.com/ ' 而不是 ' https://www.google.com/search?q=http+referer+truncated&oq=http+referer+truncated&aqs=chrome..69i57.6485j0j1&sourceid= chrome&ie=UTF-8#q=http+referer+is+not+full '
是否有关于裁判何时满员以及何时被截断的规则?