问题标签 [referrer-policy]

使用 securityheaders.io 网站，我无法在 apache .htaccess 中识别推荐人策略标头。

这是我在 htaccess 中的代码

该网站仍然说缺少推荐人政策。这不是正确的代码吗？

可以通过在网页标头中包含服务器端 http 引荐来源网址来实现：
<meta name="referrer" content="no-referrer" />
删除 http引荐来源网址
https://scotthelme.co.uk/a-new-security-header-referrer-policy

然而，推荐人策略是相当新的东西，因此并非所有浏览器都普遍支持它。
http://caniuse.com/#feat=referrer-policy

因此可以使用屏蔽引荐来源网址重定向（php）：
https://www.willmaster.com/library/security/hiding-referrer-information.php
https://lincolnloop.com/blog/2012/jun/27/推荐人阻止硬/

但这只能确保引用页面的 URL 被不同的 URL 屏蔽，而不是空字符串。 大多数浏览器在使用“刷新”字段指示重定向时不会发送引荐来源网址。
https://en.wikipedia.org/wiki/HTTP_referer#Referrer_hiding

有没有更好的方法来更普遍地隐藏所有推荐人信息？ 如果将这两种方法结合起来会怎样：

此处的引荐来源网址策略是否会产生效果，即在尊重引荐来源网址策略的浏览器中阻止引荐来源网址，但在使用“刷新”字段指示重定向时也会发送引荐来源网址？

换句话说，即使重定向不是由于用户交互而发生，而是由于本示例中的任何其他原因，引荐来源策略是否也会产生影响。

我正在努力让我的网站尽可能安全。我正在阅读标题，我应该添加一个推荐人策略。但是，我不确定是否了解此标头如何使我的网站更安全。

老实说，我不确定它是如何工作的。我认为浏览器获得了上一个链接的引荐来源。

我的网站使用 HTTP 而不是 HTTPS，我不知道应该使用哪些引荐来源网址。我认为默认是 Referrer-Policy: no-referrer-when-downgrade，但我的网站使用 HTTP，所以没用。

我有一个嵌入到 3rd 方站点的 iframe，我希望这些站点能够通过postMessage. 我想将可以与 iframe 通信的来源限制为原始（实例化）网页的来源。我目前通过将原点附加到 iframe 来实现这一点：

但是，出于超出此问题范围的原因，我想放弃这种方法。因此，我正在考虑通过window.parent和的组合来验证消息ducument.referrer。就像是：

这 1) 是否像我自己传递 URL 时一样安全 2) 万无一失，因为没有任何情况下 document.referrer 被阻止，比如说，在这种情况下 API 会被破坏。

因此，关注的范围是：

1. document.referrer 是否可以null/unavailable/incorrect在此设置中。我知道如果您例如通过重定向，它可能会有所不同，但鉴于我的脚本将创建 iframe 并设置 src，这种情况不应该成为问题。
2. 鉴于我解析/存储 document.referrer，是否有其他对抗 iframe 可以通信/移动 iframe（混淆 window.parent 等）的奇怪技巧。

我面临使用以下验证码包的问题，​​id="CaptchaMvc.Mvc4" version="1.5.0" targetFramework="net45"

问题描述 - 应用自定义标头安全策略时 - 引用策略值“无”，它不会在 Chrome 上显示验证码，但会在 IE/Edge 上显示应用程序 https URL。更改值“无”以外的引荐来源网址策略会在 Chrome 上显示应用程序 URL 的验证码。如何纠正这个？

只是为了帮助某人使 OSX Server apache2 中的网络服务器更加安全。它假定您已准备好 HTTPS 证书并在托管域中处于活动状态。

您可以编辑文件夹中的 OSX 服务器使用的 apache2 配置文件：

sudo su打开终端，通过命令和密码以超级用户身份登录。

类型cd /library/server/web/config/apache2/

键入pico httpd_server_app.conf以在 pico-editor 中打开配置文件。

搜索以开头的行

将这些更改为：

并在配置文件中向下滚动到以下行：

将该行更改为

现在，在您的网站空间上加载不存在页面的浏览器将不会显示最后一行“Apache version..../etc”

现在，托管在您的 OSX 服务器上的网站更加安全。尝试使用网络上的工具对其进行测试。

我安装了 WP Rocket，它破坏了我的网站 (www.calvinwright.org)。我已经删除了它，清除了我的缓存，甚至停用了我网站上的每个插件。它仍然没有返回，我不知道该怎么办。任何建议/建议都将不胜感激。

再次，calvinwright.org 供参考。

如果它与我的 .htcaccess 文件有关，如下所示：

谢谢你。

我的网站上有指向 PDF 的链接，可以在新选项卡中打开附加的 PDF 文件。通常，新选项卡会打开并且 PDF 显示得很好。您可以滚动并浏览它。

到今天为止，没有任何问题。现在突然之间，当我单击附件时，新标签页打开，但页面仍然是灰色的。这只发生在 Chrome 上。我可以使用另一个浏览器，它会显示。这在我尝试使用的任何计算机上都是一致的。

在控制台上的开发人员工具中，它给出如下错误消息：无法设置推荐人策略：值''不是'no-referrer'、'no-referrer-when-downgrade'、'origin'、'origin- when-cross-origin'、'same-origin'、'strict-origin'、'strict-origin-when-cross-origin' 或 'unsafe-url'。推荐人政策保持不变。

任何想法如何解决这个问题并让 PDF 在 Chrome 上打开和显示？也供参考，这是一个 WordPress 网站 谢谢

使用此 PHP 标头在 Chrome 上设置引荐来源网址会将所有页面引荐来源网址设置为none/no-referrer: "Referrer-Policy" => "no-referrer"

我在 Firefox 上将相同的 Referrer 策略设置为“no-referrer”时遇到问题，因为似乎相同的 PHP 标头不起作用。

解决方案必须是 PHP，我不能接受通过 META 标签或 JS 的解决方案。

这应该将引用者设置为无，在 Firefox 上为空，但事实并非如此。

在 Chrome 上它可以正常工作。

我似乎无法将第 3 方 XHR 请求的推荐人发送到具有自签名证书的开发服务器。

在遵守 chrome 使用 SAN 而不是 CN 并注册我的自签名 localhost 证书后，我在 Dev Tools 安全面板中获得了此请求的绿点，但我也得到以下信息：

This request does not comply with Chrome's Certificate Transparency policy.

我尝试使用Chrome 组策略禁用它，但它不起作用。

还有其他人偶然发现了这个问题吗？任何用于调试第 3 方 XHR 请求的知名解决方案？