|
|
Veröffentlicht am 13.09.2018 13:03:22
|
|
|
Dieser Artikel beschreibt einen Vorschlag für einen Metadatenparameter für einen Referer im HTTP-Protokoll, mit dem die HTML-Dokumentation steuern kann, ob ein Referer, nur ein Hostname oder ein vollständiger Referer gesendet wird. Obwohl es Möglichkeiten gibt, Referenzen zu steuern, wie Flash und einige JS-Tricks, beschreibt dieser Artikel eine andere Geschichte.
Anwendungsszenarien
In einigen Fällen kann dieser Referer-Metadatenparameter verwendet werden, wenn eine Website die Referer-Informationen kontrollieren möchte, die eine Seite aus verschiedenen Gründen an den Server sendet.
Privatsphäre
Soziale Netzwerke haben in der Regel persönliche Seiten für Nutzer, auf denen Nutzer einige Links ins Internet hinzufügen können, und soziale Netzwerke möchten möglicherweise nicht die URL der Benutzerseite leaken, wenn der Nutzer auf diese Links klickt, da diese URLs sensible Informationen enthalten können. Natürlich möchten manche soziale Netzwerke einfach einen Hostnamen im Referent angeben, anstatt die vollständigen URL-Informationen.
Sicherheit
Einige Websites, die HTTPS verwenden, verwenden möglicherweise einen Parameter (SID usw.) in der URL als Benutzerzugangsdaten und müssen Ressourcen von anderen HTTPS-Websites importieren, in diesem Fall möchte die Website die Zugangsdaten des Nutzers sicherlich nicht preisgeben.
Objekt-Fähigkeitsdisziplin
Einige Webseiten folgen der Object-Capability-Disziplin, und der Referer ist genau das Gegenteil dieser Strategie, daher wäre es vorteilhaft, wenn die Seite das Referent kontrollieren kann.
Technische Details:
Der Metedata-Parameter des Referenten kann auf folgende Wertetypen gesetzt werden:
niemals
Immer
Ursprung
Default
Wenn Sie ein Meta-Tag in Ihr Dokument einfügen und das Name-Attribut den Wert Referer hat, behandelt der Browser-Client das Tag wie folgt:
Nach den obigen Schritten reagiert der Browser bei zukünftigen HTTP-Anfragen entsprechend dem Wert des Inhalts wie folgt (der Wert der Referer-Policy unten ist der Wert des Inhalts im Meta-Tag):
Beispiel
Wenn die Seite die folgenden Meta-Tags enthält, enthalten alle Anfragen von der aktuellen Seite keinen Referenz:
Wenn die Seite folgendes Meta-Tag enthält, enthält die HTTP-Anfrage von der aktuellen Seite nur den Ursprungsteil (Hinweis: Je nach Kontext im Originaltext verstehe ich, dass der Ursprung hier eine teilweise URL mit Schema und Hostname ist, nicht andere URL-Teile nach dem Pfad usw.), nicht die vollständige URL:
Hinweis: Bei Verwendung der in diesem Artikel beschriebenen Meta-Tags wird die ursprüngliche Referer-Policy des Browsers gebrochen, zum Beispiel beim Springen von einer HTTP-Protokollseite auf eine HTTPS-Seite; wenn der entsprechende Wert gesetzt ist, wird auch der Referer übertragen.
Weitere Fragen
Was hat das mit rel=noreferer zu tun? Es ist möglich, dass rel=noreferer den vom Meta-Tag in diesem Artikel gesetzten Wert überschreibt. Das heißt, funktionale Deckung.
Die Ursprungsinformation ist keine vollständige URL, daher wird der Browser-Client wahrscheinlich ein / nach dem Ursprung als Pfadteil hinzufügen.
Was würde passieren, wenn Origin einzigartig wäre? Es wird geschätzt, dass der Referent ignoriert wird.
|
Vorhergehend:Der Klassenpfad enthält mehrere SLF4J-Bindungen.Nächster:Frontend-Mausklick-Effekte: Freiheit, Demokratie, Wohlstand
|
