Referrer Policy: strict-origin-when-cross-origin Referrer Policy: unsafe-url 这两个什么区别?
时间: 2023-12-09 13:37:01 浏览: 78
Referrer Policy是一种安全策略,用于控制浏览器在发送请求时如何暴露来源信息。其中,strict-origin-when-cross-origin是指在跨域请求时,仅发送源信息,而不发送路径和查询参数等信息。而unsafe-url则是指在所有请求中都发送完整的来源信息,包括路径和查询参数等信息。两者的区别在于是否发送完整的来源信息。
以下是两个策略的示例代码:
1. strict-origin-when-cross-origin
```html
<meta name="referrer" content="strict-origin-when-cross-origin">
```
2. unsafe-url
```html
<meta name="referrer" content="unsafe-url">
```
相关问题
Content-Security-Policy: frame-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org www.googletagmanager.com www.google-analytics.com www.youtube-nocookie.com trackertest.org www.surveygizmo.com accounts.firefox.com accounts.firefox.com.cn www.youtube.com; img-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org data: mozilla.org www.googletagmanager.com www.google-analytics.com adservice.google.com adservice.google.de adservice.google.dk creativecommons.org cdn-3.convertexperiments.com logs.convertexperiments.com images.ctfassets.net; child-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org www.googletagmanager.com www.google-analytics.com www.youtube-nocookie.com trackertest.org www.surveygizmo.com accounts.firefox.com accounts.firefox.com.cn www.youtube.com; style-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org 'unsafe-inline' app.convert.com; script-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org 'unsafe-inline' 'unsafe-eval' www.googletagmanager.com www.google-analytics.com tagmanager.google.com www.youtube.com s.ytimg.com cdn-3.convertexperiments.com app.convert.com data.track.convertexperiments.com 1003350.track.convertexperiments.com 1003343.track.convertexperiments.com; connect-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org www.googletagmanager.com www.google-analytics.com region1.google-analytics.com logs.convertexperiments.com 1003350.metrics.convertexperiments.com 1003343.metrics.convertexperiments.com sentry.prod.mozaws.net o1069899.sentry.io o1069899.ingest.sentry.io https://accounts.firefox.com/ stage.cjms.nonprod.cloudops.mozgcp.net cjms.services.mozilla.com; font-src 'self'; default-src 'self' *.mozilla.net *.mozilla.org *.mozilla.com *.mozilla.org X-Clacks-Overhead: GNU Terry Pratchett Etag: "f2d65cb9e0a72b2e713c5f4e624ec2c1" X-Backend-Server: bedrock-75f4585775-g8pf7.gcp-us-west1 Strict-Transport-Security: max-age=31536000 X-Content-Type-Options: nosniff X-Xss-Protection: 1; mode=block Referrer-Policy: strict-origin-when-cross-origin Via: 1.1 google, 1.1 5d4ed4df24dee2cc4c8f561e8c090690.cloudfront.net (CloudFront) X-Cache: Miss from cloudfront X-Amz-Cf-Pop: SFO5-C1 X-Amz-Cf-Id: Yz8DuOFyPa9l63XgCBJwQlo9VYl2Ch9qG9ccVATJcR6ci3doX7QbHA==表示什么意思
这是一个 HTTP 响应头里的 Content-Security-Policy(内容安全策略)。它告诉浏览器只允许加载来自特定来源的资源,比如 frame-src 只允许加载来自自己和一些特定的域名(如 *.mozilla.net, *.mozilla.org 等)的页面,img-src 只允许加载来自自己和一些特定的域名的图片,script-src 只允许加载来自自己和一些特定的域名的 JavaScript 代码等。这是一种保护 Web 应用程序免受跨站脚本攻击(XSS)、点击劫持等攻击的有效方式。
add_header Content-Security-Policy可配置属性有什么?
`Content-Security-Policy (CSP)` 是一个HTTP头部字段,用于定义一个文档内容的安全策略,限制网页加载的内容来源、特定类型的资源(如脚本、样式表或图片)以及执行的操作。`add_header Content-Security-Policy` 可配置属性允许网站管理员设置多个策略规则,以增强网站的安全性。常见的可配置属性包括:
1. **默认-src**:指定哪些源(如 `http://`, `https://`, `data:` 等)是默认信任的。如果没有明确指定其他策略,所有资源都会从这里加载。
2. **script-src**:控制外部脚本的来源,可以是一组特定的URL,也可以使用通配符(如 `*` 或 `self`)。
3. **style-src**:类似script-src,但用于外部样式表。
4. **img-src**:指定图片和媒体文件的来源。
5. **connect-src**:处理XHR、WebSocket等连接请求的源。
6. **frame-src**:定义哪些页面可以作为嵌套在当前文档中的框架加载。
7. **base-uri**:设置文档基础URI,影响相对URL解析。
8. **form-action**:指定表单提交的默认目标URL。
9. **object-src**:对嵌入式对象(如Flash)的来源进行控制。
10. **child-src**:对于`iframe`和`embed`元素,控制子文档的来源。
11. **report-uri**:指定违反CSP的事件应报告到哪个URL。
12. **sandbox**:提供一个安全沙箱环境,限制元素的行为。
13. **referrer**:指定如何包含或禁用Referrer政策。
在设置CSP时,你可以根据需求组合这些属性,并使用 `default-src` 和 `upgrade-insecure-requests` 来逐步提高安全性。例如:
```
add_header Content-Security-Policy "default-src 'self'; script-src 'strict-dynamic' https:; img-src 'self' data:; style-src 'self' 'unsafe-inline'; report-uri /csp-violation-report";
```
阅读全文