strict-origin-when-cross-origin
时间: 2025-08-07 10:58:11 AIGC 浏览: 67
`strict-origin-when-cross-origin` 是 HTTP 请求头 `Referer` 策略的一种取值,用于控制浏览器在发起请求时是否发送 `Referer` 头,以及发送的内容。
---
## ✅ 什么是 `Referer`?
`Referer` 是 HTTP 请求头的一部分,用于告诉服务器当前请求是从哪个页面发起的。例如:
- 从 `https://a.com/page1` 点击链接跳转到 `https://b.com/page2`
- 浏览器会带上 `Referer: https://a.com/page1`
这在日志分析、防盗链、安全审计等场景中非常有用。
---
## ✅ `strict-origin-when-cross-origin` 的行为说明
这是现代浏览器中默认使用的 `Referer` 策略,它的行为如下:
| 请求场景 | 是否发送 Referer | Referer 内容 |
|----------|------------------|--------------|
| 同源(Same Origin) | ✅ 发送 | 完整 URL(如 `https://example.com/path?query`) |
| 跨源(Cross Origin)且协议安全(HTTPS ➝ HTTPS) | ✅ 发送 | 只发送源(Origin),即 `https://example.com` |
| 跨源且协议不安全(HTTPS ➝ HTTP) | ❌ 不发送 | 无 |
| 使用 `meta referrer` 设置该策略的页面发起请求 | ✅ 按策略执行 | 按上述规则 |
---
## ✅ 与其他 `Referer` 策略对比
| 策略 | 行为 |
|------|------|
| `no-referrer` | 从不发送 Referer |
| `no-referrer-when-downgrade`(旧默认) | 默认发送完整 Referer,但如果 HTTPS ➝ HTTP 则不发送 |
| `same-origin` | 同源才发送 Referer |
| `origin` | 总是发送源(Origin)而不是完整 URL |
| `strict-origin` | 跨源时只发送 Origin,HTTPS ➝ HTTP 不发送 |
| `origin-when-cross-origin` | 同源:完整 URL;跨源:Origin |
| ✅ `strict-origin-when-cross-origin` | **同源:完整 URL;跨源且 HTTPS:Origin;HTTPS ➝ HTTP:不发送** |
---
## ✅ 如何设置 `Referer` 策略?
### 1. 通过 HTTP 响应头设置(推荐)
```http
Referrer-Policy: strict-origin-when-cross-origin
```
你可以在 Nginx、Apache、Node.js、Java 等服务器中设置这个头。
#### ✅ 在 Nginx 中设置:
```nginx
add_header Referrer-Policy "strict-origin-when-cross-origin";
```
#### ✅ 示例完整配置片段:
```nginx
server {
listen 80;
server_name example.com;
location / {
add_header Referrer-Policy "strict-origin-when-cross-origin";
proxy_pass http://backend;
}
}
```
---
### 2. 通过 HTML `<meta>` 标签设置(仅对页面内请求有效)
```html
<meta name="referrer" content="strict-origin-when-cross-origin">
```
> ⚠️ 注意:这种方式只对当前页面发起的请求有效,不能控制所有子资源。
---
## ✅ 使用场景和推荐
| 场景 | 推荐策略 |
|------|----------|
| 默认现代网页 | ✅ `strict-origin-when-cross-origin`(最安全) |
| 防盗链需求 | `no-referrer` 或 `strict-origin` |
| 同源系统内部使用 | `same-origin` |
| 完全不关心 Referer | `no-referrer` |
---
## ✅ 示例:浏览器行为演示
| 当前页面 URL | 请求的目标 URL | Referer 是否发送? | Referer 内容 |
|---------------|------------------|---------------------|----------------|
| `https://a.com/page1` | `https://a.com/page2` | ✅ | `https://a.com/page1` |
| `https://a.com/page1` | `https://b.com/page` | ✅ | `https://a.com` |
| `https://a.com/page1` | `http://b.com/page` | ❌ | 无 |
| `http://a.com/page1` | `https://b.com/page` | ✅ | `http://a.com` |
---
## ✅ 总结
| 策略 | 优点 | 缺点 |
|------|------|------|
| `strict-origin-when-cross-origin` | 安全性高,兼顾隐私和功能 | 某些旧系统可能依赖完整 Referer |
---
##
阅读全文
相关推荐
大家在看
高强螺栓连接评估软件BoltWorks
新版本地址https://download.csdn.net/download/well0887/18612481
BoltWorks是一款螺栓连接强度评估软件,以VDI 2230为主要评估方法,同时兼顾国内外行业标准,对高强度螺栓连接进行系统评估。
模拟电子技术设计自动化控制系统
主要内容:
选取一种方法设计音乐彩灯控制器,要求该音乐彩灯控制器电路由三路不同控制方法的彩灯所组成,采用不同颜色的发光二极管作课题实验。
基本要求:
(1)第一路为音乐节奏控制彩灯,按音乐节拍变换彩灯花样。
(2)第二路按音量的强弱(信号幅度大小)控制彩灯。强音时,灯的亮度加大,且灯被点亮的数目增多。
(3)第三路按音量高低(信号频率高低)控制彩灯。低音时,某一部分灯点亮;高音时,另一部分灯电亮。
TongWeb最新版本8.0
TongWeb8的优势:
1. 同时支持Java EE API、 Jakarta EE API的应用开发。
2. 支持Spring Framework 6.x、Spring Boot3.x。
android接入穿山甲广告.zip
cocosCreate接入穿山甲sdk的资源和使用说明,从穿山甲demo中提取的部分文件。本资源集成了banner广告,开屏广告,激励视频广告。
圆周率π小数点后一百万位、一千万位、一亿位数
圆周率π小数点后一百万位、一千万位、一亿位数
最新推荐
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
然而,有时在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现跨域请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
适用于 Mac OS X 系统的 iTerm2 终端模拟器及其亮点
【源码预览】:https://renmaiwang.cn/s/h5xza
iTerm2 是一款专门适配 Mac OS X 操作系统的终端模拟工具,这款工具能够完成不少让人感到十分惊艳的工作任务。
Screenrecording_20250920_134201.mp4
Screenrecording_20250920_134201.mp4
深入解析 Cloud-Native API 网关与 AI 网关的特性
【源码预览】:https://renmaiwang.cn/s/t68jy
面向云原生环境的 API 网关以及人工智能网关。
年度销售情况分析统计excel图表.xlsx
年度销售情况分析统计excel图表.xlsx
Java办公用品管理系统源码及其Web安全分析
### Java办公用品管理系统源码相关知识点
#### 1. Java办公用品管理系统概述
Java办公用品管理系统是一款针对企业内部办公用品管理的软件应用。它使用Java语言进行开发,并可能采用MVC架构模式,利用Web应用程序技术,使得用户能够通过浏览器进行办公用品的采购、库存跟踪、领用记录等操作。这种系统通常包含用户权限管理、数据统计分析等功能,并注重数据的安全性和稳定性。
#### 2. OWASP Top 10
OWASP Top 10是指开放网络应用安全项目(Open Web Application Security Project)发布的十大网络安全风险。这个列表对Web应用程序最关键的安全风险提供了广泛共识。它包括跨站脚本(XSS)、SQL注入、不安全的反序列化等安全问题。Java办公用品管理系统源码需要考虑这些安全风险并进行相应的防护措施,确保系统安全性。
#### 3. Web应用程序的状态功能
复杂业务操作或高级GUI框架下的Web应用程序通常具有状态功能。例如,在进行办公用品的采购流程中,用户可能需要按照既定的工作流步骤,依次提交相关表单,而每一环节的状态都会影响到最终操作的执行。这种状态管理对于业务逻辑的正确执行至关重要。
#### 4. 自动化测试工具的局限性
虽然市场上存在各种自动化测试工具,这些工具可以对Web应用程序的请求和重定向进行自动化测试,但它们在处理涉及多个请求和会话状态的复杂业务流程时存在局限性。这意味着自动化测试可能无法完全替代人工测试在评估系统安全性方面的作用。
#### 5. 内容安全策略(CSP)
内容安全策略(CSP)是一种安全标准,旨在减少和报告跨站脚本攻击(XSS)等网页安全漏洞。通过CSP,开发者可以指定有效域,从而减少网页受到恶意数据注入的风险。Java办公用品管理系统若实现CSP,可以进一步提升系统安全性。
#### 6. 跨域资源共享(CORS)
跨域资源共享(CORS)允许Web应用程序从不同的源(域名、协议或端口)加载资源,从而实现跨域通信。这在现代Web应用程序中非常常见,尤其是在前后端分离的架构中。Java办公用品管理系统在与前端进行交互时,可能需要配置CORS策略,以确保前后端的安全交互。
#### 7. 系统开源的重要性
开源系统意味着源代码是公开的,用户可以自由地查看、修改和分发源代码。这为用户提供了更高的透明度,并且鼓励社区贡献和共享改进,从而不断改善产品的质量和安全性。同时,开源还可以减少开发者的开发成本,加速开发周期。
#### 8. 文件名称解析
在给定的文件信息中,提到的压缩包子文件的文件名称列表是“webapp-tech-master”。这个名称表明了源代码包是一个包含完整项目的压缩文件,使用“master”这一术语来表示它可能包含的是主分支或者是主版本的代码。这样的命名习惯在GitHub等版本控制系统中非常常见,暗示了这是一个稳定或完整版本的源码包。
### 结论
从上述知识点可见,Java办公用品管理系统是一个涉及多个技术领域的复杂系统。开发者在设计和实现这样的系统时,需要考虑到安全性、功能性和用户体验。OWASP Top 10、CSP和CORS等技术的运用能够帮助提升系统的安全性,而开源则为系统的发展提供了社区支持和透明度。对于维护和扩展这类系统来说,对这些知识点的深刻理解是必不可少的。
SI Window配置策略揭秘:平衡资源效率与响应速度的5种最佳实践
# 摘要
SI Window机制作为流式计算中的核心组件,对系统资
ls /mnt/C/Users/28597/Desktop/openfoam/
在 Ubuntu 中,使用 `ls` 命令可以查看指定路径下的文件和目录信息。对于路径 `/mnt/C/Users/28597/Desktop/openfoam/`,可以使用以下命令来查看其内容:
```bash
ls -l /mnt/C/Users/28597/Desktop/openfoam/
```
此命令会以详细格式列出该目录下的所有文件和子目录信息,包括权限、链接数、所有者、组、文件大小、最后修改时间和文件名 [^2]。
如果希望以更直观的方式查看目录结构,可以使用 `tree` 命令,它能够以树状图展示目录下的所有文件和子目录:
```bash
tree /mnt/C/Us
掌握Java8流式处理与大数据工具Flink和Kafka整合
根据给出的文件信息,我们可以提炼出以下几个重要的IT知识点:
1. Java 8流(Stream)API源码分析
Java 8引入了Stream API,它提供了一种高层次的处理数据的方式,可以进行声明式的操作,例如过滤、映射、归约等。通过Stream API,开发者可以更简洁和清晰地表达复杂的操作,尤其是处理集合数据时。了解Stream API的源码,可以更深入地理解其内部的工作机制,包括它的延迟执行、内部迭代以及中间操作和终端操作等特性。
2. Flink框架使用
Apache Flink是一个开源流处理框架,用于处理大规模实时数据流和批处理数据。它以高性能、高吞吐量、低延迟而著称。Flink实现了许多流处理相关的功能,例如事件时间处理、状态管理、容错机制等。在大数据处理项目中,Flink能够提供高效率的数据处理能力,特别适合需要快速响应的实时分析任务。
3. Kafka大数据工具
Apache Kafka是一个分布式流处理平台,它主要用于构建实时数据管道和流应用程序。Kafka能够有效地处理高吞吐量的数据,并支持发布-订阅消息模式。它被广泛应用于构建实时数据流处理和数据集成的场景。本文件中提及的Kafka版本为2.13,且使用的是2.7.0版本的tar包,这表明对特定版本的Kafka有一定的要求。
4. Java开发环境配置
在文件描述中提到了多个与Java开发环境相关的工具和版本要求:
- Java版本:需要Java 8或Java 11版本,这可能与Stream API的使用兼容性有关。
- Maven:一个项目管理和构建自动化工具,用于管理Java项目的依赖和生命周期。
- IntelliJ IDEA:一个流行的Java集成开发环境(IDE),提供了代码编辑、构建、调试等功能。
- Zookeeper:一个开源的分布式协调服务,通常与Kafka一起使用来管理集群状态。
5. Kafka的安装和配置
文件中提到将在Windows操作系统上进行Kafka的安装和配置演示。这包括下载Kafka压缩包,解压文件,并设置KAFKA_HOME环境变量。这些步骤是运行Kafka集群的基础。
6. Maven项目创建与配置
在IntelliJ IDEA中使用Maven创建Java项目时,需要通过Maven的配置界面指定项目的Java版本,并在pom.xml文件中添加依赖项。pom.xml是Maven项目的核心配置文件,用于声明项目所需的各种依赖和插件等。
7. 项目依赖管理
文件信息中强调了在pom.xml文件中添加依赖项的重要性。这涉及到如何管理项目中的外部库依赖,确保项目能够在多种环境中一致地运行,同时避免版本冲突。
8. 大数据处理
将Flink和Kafka结合使用,可以构建出一个大数据处理平台,能够处理实时数据流和历史数据。在大数据项目中,这种组合常用于数据采集、实时分析、数据存储和数据处理等环节。
9. 系统开源
标签中提到了"系统开源",这可能意味着在项目中使用了开源技术栈,并且强调了在项目开发中遵循开源精神,利用开源软件以促进知识共享和技术进步。
根据文件中的【压缩包子文件的文件名称列表】所提示的"flink-kafka-java-main",我们可以推断出,文档可能涉及一个包含Java源代码的压缩包,其内容主要围绕Flink和Kafka框架的集成使用,并与Java 8的Stream API紧密相关。项目名"flink-kafka-java-main"暗示了这是一个主项目,可能是整个大数据处理解决方案的核心部分。
UE初始接入时延优化:基于SIB1获取时间的7个性能瓶颈诊断方法
# 摘要
UE初始接入时延是影响5G网络用户体验的关键指标,其中SIB1的获取过程尤为关键。本文系统分析了从物理层信号接收、空口消息解析到终端处理全流程中的时延瓶颈,重点研究了PSS/SSS同步失败、PBCH译码性能受限、SSB周期配置不合理、PDCCH盲检失