HTTP referrer 获取前端用户访问来源

已于 2023-03-01 18:49:09 修改
阅读量4.2k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: HTTP 文章标签: http 前端 php
于 2023-03-01 18:35:40 首次发布
原文链接:http://www.ruanyifeng.com/blog/2019/06/http-referer.html
HTTPReferer头信息用于记录用户访问页面的来源,常用于用户跟踪,但也涉及隐私问题。直接输入地址或使用某些刷新方式不会发送Referer。可以通过rel=noreferrer或设定ReferrerPolicy控制其发送。文章讨论了Referer的安全性,以及如何通过中间界面保护数据不被泄露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、介绍

HTTP Header referer 提供访问当前页面来源的信息
很有趣的是,这个字段的拼写是错的。
Referer的正确拼写是Referrer,但是写入标准的时候,不知为何,没人发现少了一个字母r。
标准定案以后,只能将错就错,所有头信息的该字段都一律错误拼写成Referer。(但通过js引用时是 document.referrer)

console.log(document.referer);  // JS获取http referer

$_SERVER['HTTP_REFERER'];  	// php获取http referer

二、应用场景

Referer字段的逻辑是这样的,用户在地址栏输入网址,或者选中浏览器书签,就不发送Referer字段。

不发送Referer字段场景:

  1. 直接输入地址
  2. 使用location.reload()刷新(location.href或者location.replace()刷新有信息);
  3. QQ,微信点击链接进入自身的浏览器
  4. 从https的网站直接进入一个http协议的网站
  5. a标签在rel设置noreferer
rel="noreferrer"
  1. 通过设定referer policy 值,在不同条件下控制referer的发送

以下三种场景,会发送Referer字段。

  1. 用户点击网页上的链接。
  2. 用户发送表单。
  3. 网页加载静态资源,比如加载图片、脚本、样式。

三、使用
Referer字段实际上告诉了服务器,用户在访问当前资源之前的位置。这往往可以用来用户跟踪。(如无需登录即可使用功能界面)

安全性:
由于涉及隐私,很多时候不适合发送Referer字段。

<a href="..." rel="noreferrer" target="_blank">xxx</a> 
//referrer正确拼写

Referer并不是安全的,因为可以通过插件修改发送头信息中的referer
解决:

Referer字段包含源信息、路径和查询字符串,不包含锚点、用户名和密码。
注意区分Referer字段和源信息(协议+域名+端口)

W3C Referrer Policy 设定8个值,在特定情况下发送,

  1. no-referrer 不发送
  2. no-referrer-when-downgrade HTTPS->HTTP(浏览器默认行为),不发送
  3. same-origin 同源(协议+域名+端口)不发送
  4. origin 不管是否跨域,Referer字段都只发送源信息(协议+域名+端口)
  5. strict-origin HTTPS->HTTP 不发送referer字段,其他只发送源信息
  6. origin-when-cross-origin 同源,发送referer完整信息,包括跨域
  7. strict-origin-when-cross-origin 同源时,发送完整的Referer字段;跨域时,如果 HTTPS 网址链接到 HTTP 网址,不发送Referer字段,否则发送源信息。
  8. unsafe-url Referer字段包含源信息、路径和查询字符串,不包含锚点、用户名和密码。

页面重定向
定制中间界面,通过A->B(中间)->C C获取到的是中间界面B,可以有效保护A界面数据不被泄露.

参考:

如何在前端统计用户访问来源_weixin_30484247的博客-CSDN博客
https://blog.csdn.net/weixin_30484247/article/details/98705127?utm_medium=distribute.pc_relevant.none-task-blog-title-1&spm=1001.2101.3001.4242

HTTP Referer 教程 - 阮一峰的网络日志
http://www.ruanyifeng.com/blog/2019/06/http-referer.html

JS获取上一访问页面URL地址document.referrer实践 « 张鑫旭-鑫空间-鑫生活
https://www.zhangxinxu.com/wordpress/2017/02/js-page-url-document-referrer/

干货:如何在前端统计用户访问来源
神策数据
06-21 1万+
用户来源是网站数据分析中一个重要的指标,然而想要准确的统计来源却并没有唯一的方法。下面我们针对获取来源的方式、来源的定义做一些具体的阐述;并且以 sensorsdata.cn 这个网站为例来做具体的来源分析。1.前端获取来源的两种方式1.1 通过给页面加自定义参数来标志第一种方案,是通过给页面加自定义参数来标注用户来源,我们暂且把这个来源叫做from。例如,我们将这个地址www.sensorsd...
content=“no-referrer“解决Vue项目中图片前端跨域报错:403 Forbidden,strict-origin-when-cross-origin
最新发布
...
02-19 773
Vue项目的中设置<meta>标签,更改Referrer Policy:可解决Vue项目中图片前端跨域报错:403 Forbidden,strict-origin-when-cross-origin的问题。原理:控制浏览器在发起 HTTP 请求时是否发送Referer头部信息,当设置为时,浏览器在请求资源时不会发送Referer头部,从而解决因Referer头缺失或不符合要求而导致的请求被拒绝的问题。
关于referer获取问题
langtaosha8888的专栏
01-10 4426
在上一页面做跳转操作,可以在下一页面获得上一页面的Referer从而判断页面的来路。         目前web开发有以下几种页面跳转方式:                 (1)使用RequestDispatcher跳转。该方式不支持跨域目的页面也无法取得referer                            RequestDispatcher rd = request.ge
HTTP_referrer
weixin_33958585的博客
04-06 150
http://en.wikipedia.org/wiki/HTTP_referrer   看了一些,但是有些还是没看懂。 下面这篇不错: http://webdesign.about.com/od/loganalysis/a/aa100305.htm  http://www.electrictoolbox.com/php-http-referer-variable/ http://ww...
前端嵌入页面模拟登陆_了解前端,爱上前端 | 网络安全
weixin_39619893的博客
12-01 373
开发案例——从sameSite属性说出去在开发过程中遇到这样问题,A系统是一个入口系统,B系统通过iframe的方式嵌入到A系统中。在A系统中访问B系统的时候出现了多次重定向失败的问题,需要注意的系统的登陆是统一通过sso去做的,由后端通过302进行重定向。关于系统的不同登陆方式对比可以看里卡卡卡多:了解前端,爱上前端 | 网站各种登陆方式对比​zhuanlan.zhihu.com通过警告信息的查...
前端获取用户访问来源
lxy4239的博客
04-26 1634
// 判断用户设备【ios、android、pc、其他】 function _userSource() { if (/(iPhone|iPad|iPod|iOS)/i.test(navigator.userAgent)) { // ios return ‘IOS’; } else if (/(Android)/i.test(n...
获取http头 的 referrer 信息
sgear
02-23 1827
 ASP。NET 获取 referrer  信息 的方法如下:Request.ServerVariables["HTTP_REFERER"].ToString()  JS  获取   referrer  信息 的方法如下:document.referrer
前端怎么获取cookie的值_作为前端你必须要了解的安全性问题!
weixin_39881513的博客
12-01 1141
前端技术不断发展,安全性的问题也越来越受到关注。作为前端工程师,保障网络安全也越来越重要。XSS攻击XSS(Cross Site Scripting)跨站脚本攻击。攻击者在网站上植入非法的html或是JavaScript代码,将受害者重定向到一个被攻击者控制的恶意网站,在恶意网站中对用户的隐私(如cookie)进行盗取。反射型XSS攻击对用户的输入进行简单的浏览器反射。常见的在网页端设置一个连接,...
vue使用富文本粘贴图片和html访问图片资源的403问题(http referrer)
倚树探星的博客
04-12 2134
1、问题描述 在项目中使用富文本编辑器时,粘贴图片之后出现了一个问题,就是该图片通过地址可以打开,但是在富文本编辑器中却无法显示,报错GET https://bkimg.cdn.bcebos.com/pic/d058ccbf6c81800a0ff13a1ebe3533fa828b478d?x-bce-process=image/watermark,g_7,image_d2F0ZXIvYmFpa2U...
html图片指定refere,前端解决第三方图片防盗链的办法 - html referrer 访问图片资源 403 问题...
weixin_32349093的博客
06-04 1651
问题笔者网站的图片都是上传到第三方网站上的,比如 简书、掘金、七牛云上的,但是最近简书和掘金都开启了 防盗链,防止其他网站访问他们网站上的图片了,导致笔者的网站存在他们网站上的图片全挂了。具体问题,就是 html 中通过 img 标签引入一个第三方的图片地址,报 403 。但是这个图片地址直接复制出来在地址栏打开,却是看得到的。原因官方输出图片的时候,判断了来源 Referer ,就是从哪个网站...
完美兼容各大浏览器获取HTTP_REFERER方法总结
12-13
后来查了一些相关资料,发现在IE 中通过 [removed].href 或者是 是无法获取HTTP_REFERER, 真是搞不懂 IE 的浏览器,很多浏览器运行的很好的东西,它就是不支持,最后没有办法,只能PHP伪造来源HTTP_REFERER的方法或者用JS来伪造。 IE可以识别的 HTTP_REFERER 提交是通过click 触发的事件或者是 Form 表单提交的请求,下面是根据网上的资料总结的一个方法: [removed] function referURL(url){ var isIe=(document.all)?true:false; if(isIe) { var l
HTTPreferrer
weixin_30847271的博客
08-27 289
  我们知道,在页面引入图片、JS 等资源,或者从一个页面跳到另一个页面,都会产生新的 HTTP 请求,浏览器一般都会给这些请求头加上表示来源Referrer 字段。Referrer 在分析用户来源时很有用,有着广泛的使用。但 URL 可能包含用户敏感信息,如果被第三方网站拿到很不安全(例如之前不少 Wap 站把用户 SESSION ID 放在 URL 中传递,第三方拿到 URL 就可...
Java、Go获取HTTP请求源IP的方法
Sir.He的博客
04-03 957
【代码】Java、Go获取HTTP请求源IP的方法。
前端如何获取网页的url
qq_51819142的博客
02-23 4383
1.设置或获取对象指定的文件名或路径: 获取整个 URL 为字符串(常用):window.location.href
HTTPreferer
hhh
01-27 439
来源http://www.cnblogs.com/lxwphp/p/9843200.html 在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERERphp文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTT...
获取referer中的请求参数_HTTP请求头信息及读取方法
weixin_39731623的博客
12-20 2124
当浏览器请求网页时,它会向 Web 服务器发送特定信息,这些信息不能被直接读取,因为这些信息是作为 HTTP 请求的头的一部分进行传输的。以下是来自于浏览器端的重要头信息:头信息 描述1、Accept指定浏览器或其他客户端可以处理的 MIME 类型。image/png 或 ...
获取网站访问来源URL
anmishi2025的博客
06-02 467
request.getHeader("HTTP_REFERER");orrequest.getHeader("referer");都可以可以将获取的URL插入到数据库,以便进行数据挖掘HTTP1.1规范中的描述14.36RefererTheReferer[sic]request-headerfieldallowstheclienttospecify,fo...
获取访问来源
setsunadoudou的博客
10-01 391
var bdvGlobal = {}; (function() { var ref = document.referrer; if ( ref ) { var matc...
围绕http请求头中Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
前端如何利用JavaScript分析用户在搜索引擎的搜索关键词,并应用于定向推广?
11-11
前端JavaScript中分析用户通过搜索引擎输入的关键词,并应用这些数据进行定向推广,可以通过分析document.referrer属性实现。这个属性包含了用户访问当前页面前所在的URL,即来源URL。通过分析这个来源URL,可以提取出用户在不同搜索引擎上的搜索关键词。 参考资源链接:[前端JS获取用户在搜索引擎的搜索关键词](https://wenku.csdn.net/doc/6412b5ecbe7fbd1778d44dfd?spm=1055.2569.3001.10343) 首先,我们需要编写JavaScript代码来获取document.referrer的值。然后,使用正则表达式对这个URL进行匹配,以识别和提取出搜索引擎的搜索关键词。以百度搜索引擎为例,关键词通常位于URL参数`word`之后,因此可以使用正则表达式`/word\=([^&]+)/`来匹配并获取关键词。获取到关键词后,可以根据关键词进行相关的定向推广分析。 例如,以下是一段简单的JavaScript代码示例,用于从百度搜索引擎中获取搜索关键词: ```javascript var referer = document.referrer; var keyword = ''; if(referer) { var match = referer.match(/https?:\/\/***\/s\?wd=([^&]+)/); if (match && match.length > 1) { keyword = decodeURIComponent(match[1]); // 解码URL中的关键词 } } console.log('用户搜索关键词:', keyword); ``` 在这段代码中,我们首先检查document.referrer是否存在。如果存在,我们使用正则表达式匹配百度搜索URL中的`wd`参数,该参数包含了编码后的搜索关键词。之后,我们使用`decodeURIComponent`函数对提取的编码关键词进行解码,得到用户实际搜索的关键词。 然后,企业可以根据这些关键词优化其广告投放策略,进行更精准的定向推广。例如,可以根据用户搜索的关键词定制广告内容,或者对网站进行SEO优化,提升关键词的相关性排名。 需要注意的是,这种方法的实现依赖于用户的浏览器支持JavaScript,并且用户必须是从搜索引擎的搜索结果点击进入当前页面。此外,这种做法应当遵守相应的隐私政策和法律法规,避免侵犯用户隐私。 深入了解如何在前端JavaScript中获取和利用用户的搜索关键词,可以参考文章《前端JS获取用户在搜索引擎的搜索关键词》。这篇文章详细介绍了如何针对百度、搜狗等不同搜索引擎获取关键词,以及如何根据这些关键词进行定向推广分析,内容全面且实用,是学习和实践这一技能的好资源。 参考资源链接:[前端JS获取用户在搜索引擎的搜索关键词](https://wenku.csdn.net/doc/6412b5ecbe7fbd1778d44dfd?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值