referrer策略和meta标签的问题

请求后端接口时，banner图片的请求出现403错误：GET http://xxxxxxxxxxxx 403（Forbidden）。在网上搜寻一番，解决方法以下：在index.html中的head中添加<meta name="referrer" content="no-referrer" />。

在此以前，关于referrer，知之甚少。参考https://imququ.com/post/refer...，说是一种引用策略，能够用来防止图片或视频被盗。它的原理是：http 协议中，若是从一个网页跳到另外一个网页，http 头字段里面会带个 Referrer。图片服务器经过检测 Referrer 是否来自规定域名，来进行防盗链。若是没有设置referrer，那就能够直接绕过防盗链机制，直接使用或盗取。

referrer 的值有哪些？

一、no-referrer：全部请求不发送 referrer。

二、no-referrer-when-downgrade（默认值）：当请求安全级别降低时不发送 referrer。目前，只有一种状况会发生安全级别降低，即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和连接跳转都不会发送 referrer。

三、same-origin：对于同源的连接和引用，会发送referrer，其余的不会。

四、origin：在任何状况下仅发送源信息做为引用地址。源信息包括访问协议和域名。

五、strict-origin：在安全级别降低时不发送 referrer；而在同等安全级别的状况下仅发送源信息。注意：这个是新加的标准，有些浏览器可能还不支持。

六、origin-when-cross-origin：同源的连接和引用，会发送彻底的 referrer 信息；但非同源连接和引用时，只发送源信息。

七、strict-origin-when-cross-origin：同源的连接和引用，会发送 referrer。安全级别降低时不发送 referrer。其它状况下发送源信息。注意：这个是新加的标准，有些浏览器可能还不支持。

八、unsafe-url：不管是否发生协议降级，不管是本站连接仍是站外连接，通通都发送 Referrer 信息。正如其名，这是最宽松而最不安全的策略。

语法

Referrer-Policy: no-referrer

Referrer Policy 的设置方法

一、CSP（Content Security Policy），是一个跟页面内容安全有关的规范。在 HTTP 中经过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。

Content-Security-Policy: referrer no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;

CSP 的指令和指令值之间以空格分割，多个指令之间用英文分号分割。

二、<meta> 标签

<meta name="referrer" content="no-referrer|no-referrer-when-downgrade|origin|origin-when-crossorigin|unsafe-url">

若是 content 属性不是合法的取值，浏览器会自动选择 no-referrer 这种最严格的策略。

三、经过a、area、link元素的 referrer属性

a href="http://www.baidu.com" referrer="no-referrer|origin|unsafe-url"

meta标签的延伸

meta标签用来描述一个HTML网页文档的属性，有关页面的元信息，主要有两个属性：name 和 http-equiv

一、<meta name="参数" content="具体的描述">

name属性主要用于描述网页，好比网页的关键词，叙述等。属性值为content，content中的内容是对name填入类型的具体描述，便于搜索引擎抓取。

二、name的参数

①、keywords：网页关键字

<meta name="keywords" content="food, water">

②、description：网站内容的描述，网站主要内容

<meta name="description" content="Study English online">

③、viewport：移动端视口，仅供移动设备使用

<meta name="viewport" content="width=device-width, initial-scale=1">

④、robots：搜索引擎爬虫的索引方式，content不填默认为all

<meta name="robots" content="all|none|index|noindex|follow|nofollow">

none : 搜索引擎将忽略此网页，等价于noindex，nofollow
noindex : 搜索引擎不索引此网页
nofollow: 搜索引擎不继续经过此网页的连接索引搜索其它的网页
all : 搜索引擎将索引此网页与继续经过此网页的连接索引，等价于index，follow
index : 搜索引擎索引此网页
follow : 搜索引擎继续经过此网页的连接索引搜索其它的网页

⑤、author：做者

<meta name="author" content="Sheldon">

⑥、copyright：标注版权信息

<meta name="copyright" content="yixinli"> //表明该网站为yixinli版权全部

⑦、revisit-after：搜索引擎爬虫重访时间

<meta name="revisit-after" content="one week" >

三、<meta http-equiv="参数" content="具体的描述">

http-equiv至关于http文件头的做用

四、http-equiv的参数：

①、content-Type：声明字符编码

<meta charset="utf-8">  // H5新增，推荐使用
<meta http-equiv="content-Type" content="text/html;charset=utf-8"> //旧的HTML

②、cache-control：指定请求和响应遵循的缓存机制

<meta http-equiv="cache-control" content="no-cache">

content的值有：

no-cache: 先发送请求，与服务器确认该资源是否被更改，若是未被更改，则使用缓存
no-store: 不容许缓存，每次都要去服务器上，下载完整的响应
public : 缓存全部响应，但并不是必须。由于max-age也能够作到相同效果
private : 只为单个用户缓存，所以不容许任何中继进行缓存
maxage : 表示当前请求开始，该响应在多久内能被缓存和重用，而不去服务器从新请求。例如：max-age=60表示响应能够再缓存和重用 60 秒。
no-siteapp：禁止百度自动转码

③、expires：网页到期时间，到期后网页必须到服务器上从新传输。

<meta http-equiv="expires" content="Sunday 26 October 2018 10:00 GMT" />

④、refresh：自动刷新并指向某页面

<meta http-equiv="refresh" content="2; URL=http://www.sina.com/"> //意思是2秒后跳转新浪

⑤、X-UA-Compatible：浏览器采起何种版本渲染当前页面

<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> //指定IE和Chrome使用最新版本渲染当前页面

⑥、Set-Cookie：为页面定义cookie

若是网页过时，那么这个网页存在本地的cookies也会被自动删除。

<meta http-equiv="Set-Cookie" content="name, date"> //格式

参考文档：
https://imququ.com/post/refer...
https://www.jianshu.com/p/b12...
https://developer.mozilla.org...
https://developer.mozilla.org...
https://segmentfault.com/a/11...