У цій статті описано пропозицію щодо параметра метаданих для реферера в протоколі HTTP, за допомогою якого HTML-документація може контролювати, чи надсилати реферер, лише ім'я хоста, чи повний реферер. Хоча існують способи контролювати реферери, такі як flash, і деякі js-хитрощі, ця стаття описує іншу історію.
Сценарії використання
У деяких випадках цей параметр метаданих реферера може використовуватися, коли вебсайт хоче контролювати інформацію про реферерів, яку сторінка надсилає на сервер, з різних причин.
Приватність
Соціальні мережі зазвичай мають особисті сторінки користувачів, на яких користувачі можуть додавати посилання на Інтернет, і соціальні мережі можуть не хотіти розкривати URL сторінки користувача, коли користувач натискає на ці посилання, оскільки ці URL можуть містити чутливу інформацію. Звісно, деякі соціальні мережі можуть просто хотіти вказати ім'я хоста у реферері замість повної інформації про URL.
Безпека
Деякі сайти, які використовують https, можуть використовувати параметр (sid тощо) у URL як облікові дані користувача і потребують імпорту ресурсів з інших https-сайтів, у такому разі сайт точно не хоче розкривати інформацію про облікові дані користувача.
Дисципліна об'єктно-можливостей
Деякі сайти дотримуються дисципліни Object-Capability, і реферер є повною протилежністю цієї стратегії, тому було б корисно мати змогу контролювати реферера.
Технічні деталі:
Параметр metedata реферера можна встановити на такі типи значень:
Ніколи
завжди
Походження
За замовчуванням
Якщо ви вставите метатег у свій документ і атрибут імені має значення referer, клієнт браузера оброблятиме тег наступним чином:
Після наведених вище кроків, коли браузер у майбутньому зробить HTTP-запит, він відповідатиме відповідно до значення контенту наступним чином (значення політики реферера нижче — це значення контенту в мета-тегу):
приклад
Якщо сторінка містить такі мета-теги, всі запити з поточної сторінки не матимуть реферера:
Якщо сторінка містить наступний мета-тег, HTTP-запит з поточної сторінки міститиме лише початкову частину (примітка: залежно від контексту в оригінальному тексті, я розумію, що походження тут є частковим URL із схемою та ім'ям хоста, а не іншими частинами URL після шляху тощо), а не повний URL:
Примітка: При використанні мета-тегів, описаних у цій статті, початкова політика реферера браузера буде порушена, наприклад, при переході зі сторінки протоколу http на https, якщо встановлено відповідне значення, також буде перенесено реферер.
Інші питання
Яке це має відношення до rel=noreferer? Можливо, rel=noreferer перекреслює значення, встановлене метатегом у цій статті. Тобто функціональне покриття.
Інформація про походження не є повною URL, тому клієнт браузера, ймовірно, додасть /після джерела як частину шляху.
Що було б, якби Origin був унікальним? Очікується, що реферер буде ігнорований.
|
Опубліковано 13.09.2018 13:03:22
|
|
|
