|
|
Zveřejněno 13.09.2018 13:03:22
|
|
|
Tento článek popisuje návrh metadatového parametru pro referer v protokolu HTTP, pomocí kterého může HTML dokumentace rozhodovat, zda se odesílá referer, pouze hostitelský název, nebo celý referer. Ačkoliv existují způsoby, jak ovládat referery, například flash a některé triky s js, tento článek popisuje jiný příběh.
Scénáře použití
V některých případech lze tento parametr metadat refereru použít, když chce web kontrolovat informace o refereru, které stránka odesílá serveru z různých důvodů.
Soukromí
Sociální sítě obvykle mají uživatelské osobní stránky, kde uživatelé mohou přidat odkazy na internet, a sociální sítě nemusí chtít při kliknutí na tyto odkazy unikat URL uživatelské stránky, protože tyto URL mohou obsahovat citlivé informace. Samozřejmě, některé sociální sítě mohou chtít pouze uvádět název hostitele v refereru místo celé URL informace.
Bezpečnost
Některé weby, které používají https, mohou používat parametr (sid atd.) v URL jako uživatelské údaje a potřebují importovat zdroje z jiných https webů, v takovém případě web rozhodně nechce zveřejnit uživatelské přihlašovací údaje.
Disciplína objekt-schopnosti
Některé weby dodržují disciplínu Object-Capability a referer je přesným opakem této strategie, takže by bylo pro stránku výhodné mít možnost kontrolovat refeera.
Technické detaily:
Parametr metedata refereru lze nastavit na následující typy hodnot:
Nikdy
vždy
Původ
výchozí stav
Pokud do dokumentu vložíte meta tag a atribut name má hodnotu referer, klient prohlížeče s tímto tagem najde následovně:
Po výše uvedených krocích, když prohlížeč v budoucnu vytvoří HTTP požadavek, odpoví podle hodnoty obsahu následovně (hodnota referer-policy níže je hodnota obsahu v meta tagu):
příklad
Pokud stránka obsahuje následující meta tagy, všechny požadavky z aktuální stránky nebudou obsahovat referer:
Pokud stránka obsahuje následující metatag, HTTP požadavek z aktuální stránky bude obsahovat pouze část původu (poznámka: v závislosti na kontextu v původním textu chápu, že původ zde je částečná URL obsahující schéma a název hostitele, nikoli jiné části URL za cestou atd.), nikoli celou URL:
Poznámka: Při použití meta tagů popsaných v tomto článku bude původní politika refereru porušena, například při přeskakování ze stránky http protokolu na https stránku, pokud je nastavena příslušná hodnota, referer bude také přenesen.
Další otázky
Co to má společného s rel=noreferer? Je možné, že rel=noreferer přepisuje hodnotu nastavenou meta tagem v tomto článku. Tedy funkční pokrytí.
Informace o původu nejsou úplná URL, takže klient prohlížeče pravděpodobně přidá / za původ jako část cesty.
Co by se stalo, kdyby byl Origin jedinečný? Odhaduje se, že referer bude ignorován.
|
Předchozí:Class path obsahuje více vazeb SLF4J.Další:Efekty kliknutí myší na přední části: svoboda, demokracie, prosperita
|
