HTTP请求中的referrer和Referrer-Policy

本文将介绍一个涉及安全和隐私的http请求头中的字段— referrer，以及如何经过 Referrer Policy去修改 referrer的值或者是显示与否。

什么是referrer

当一个用户点击当前页面中的一个连接，而后跳转到目标页面时，目标页面会收到一个信息，即用户是从哪一个源连接跳转过来的。以下图所示：

也就是说，当你发起一个http请求，请求头中的 referrer字段就说明了你是从哪一个页面发起该请求的。

使用场景

有时候咱们须要控制这个 referrer字段的值，便是否让其显示在请求头中，或者是否显示完整路径等。尤为是在如下两个使用场景：

隐私

在社交网站的我的中心页面，也许会存在一些外链，这时候社交网站确定不但愿用户在点击这些连接跳转到其余第三方网站时会将本身我的中心的URL信息显示在 referrer字段中传过去，尤为是我的中心页面的URL每每会带着用户数据和一些敏感信息。这时候能够选择不显示来源页面URL信息或者只显示一个网站根地址hostname。

安全

有些使用了https的网站，可能在URL中使用一个参数（sid）来做为用户身份凭证，而又须要引入其余https网站的资源，这种状况，网站确定不但愿泄露用户的身份凭证信息。当https网站须要引入不安全的http网站的资源或者有连接要跳转到http网站时，这时候将https源网站的URL信息传过去也是不太安全的。

固然还有其余状况下须要referrer的值，好比最近公司所作的项目中，有一个请求因为请求头过大致使响应是400，咱们的Referrer Policy是默认的状况，显示的referrer是完整的URL信息，该URL带了不少敏感数据好比加密后的token，sessionID等，长度特别长，请求头中的cookie和请求的URL也带着很大块的信息，最终咱们决定让referrer只携带网站根地址的信息而不是其完整路径，由此减少了header的大小。

Referrer-Policy

Referrer-Policy的做用就是为了控制请求头中 referrer的内容，目前是一个候选标准，不过已经有部分浏览器支持该标准。

目前 Referrer-Policy只包含如下几种值：

enum ReferrerPolicy {
"",
"no-referrer",
"no-referrer-when-downgrade",
"same-origin",
"origin",
"strict-origin",
"origin-when-cross-origin",
"strict-origin-when-cross-origin",
"unsafe-url"
};复制代码

空字符串

若设为空串则默认按照浏览器的机制设置 referrer的内容，默认状况下是和 no-referrer-when-downgrade设置得同样。

no-referrer

不显示 referrer的任何信息在请求头中。

no-referrer-when-downgrade

这是默认值。当从https网站跳转到http网站或者请求其资源时（安全降级HTTPS→HTTP），不显示 referrer的信息，其余状况（安全同级HTTPS→HTTPS，或者HTTP→HTTP）则在 referrer中显示完整的源网站的URL信息。

same-origin

表示浏览器只会显示 referrer信息给同源网站，而且是完整的URL信息。所谓同源网站，是协议、域名、端口都相同的网站。

origin

表示浏览器在 referrer字段中只显示源网站的源地址（即协议、域名、端口），而不包括完整的路径。

strict-origin

该策略更为安全些，和 origin策略类似，只是不容许 referrer信息显示在从https网站到http网站的请求中（安全降级）。

origin-when-cross-origin

当发请求给同源网站时，浏览器会在 referrer中显示完整的URL信息，发个非同源网站时，则只显示源地址（协议、域名、端口）

strict-origin-when-cross-origin

和 origin-when-cross-origin类似，只是不容许 referrer信息显示在从https网站到http网站的请求中（安全降级）。

unsaft-url

浏览器老是会将完整的URL信息显示在 referrer字段中，不管请求发给任何网站。

Referrer-Policy更改方法

能够有如下5种方法：

1. 经过Referrer-Policy HTTP header设置：

Referrer-Policy: origin复制代码

2. 经过<meta>元素改变Referrer Policy，直接修更名为referrer的内容

<meta name="referrer" content="origin">复制代码

3. 给 <a>, <area>, <img>, <iframe>, 或者<link>元素设置referrerpolicy属性

<a href="http://example.com" referrerpolicy="origin">复制代码

4. 如需设置不显示referrer信息时，也能够给 <a>, <area>, <link>元素设置rel的连接关系。

<a href="http://example.com" rel="noreferrer">复制代码

总结

使用何种 Referrer Policy取决于网站的需求，可是通常来讲， unsafe-url是不太建议用的，一样，若是是只想显示网站的根地址，那么建议用 strict-origin和s trict-origin-when-cross-origin。若是URL中没有什么敏感信息，那就默认使用 no-referrer-when-downgrade。

参考：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy