referrer policy: strict-origin-when-cross-origin
时间: 2023-05-31 19:19:32 浏览: 156
### 回答1:
"referrer policy: strict-origin-when-cross-origin" 意思是当跨域请求时,Referer 头部将只包含来源域。这意味着,如果请求的 URL 与当前页面的 URL 不在同一个域中,则 Referer 头部将不会包含来源页面的路径和查询字符串。
### 回答2:
referrer policy: strict-origin-when-cross-origin 是一种浏览器安全策略,旨在保护用户的隐私安全。在用户使用浏览器访问网站时,每个网页都会有一个 Referrer(推荐来源),用于告知服务器用户是从哪个网页跳转过来的。但是,若用户从https网页跳转到http网页,或从一个域名跳转到另一个域名,Referrer 中会携带许多用户隐私信息(如搜索的关键词、用户的 IP 地址等),有可能被攻击者窃取和分析,从而对用户的隐私造成威胁。
因此,Web 安全专家在设计浏览器时,增加了 Referrer Policy 配置。其中,referrer policy: strict-origin-when-cross-origin 是其中一种策略。具体来说,它的作用是:在跨域请求的时候,只发送相同源的或者协议相同的 Referrer,不发送携带用户隐私信息的 Referrer,这样就能限制攻击者窃取用户隐私信息的能力。
举个例子,当用户从 https://www.example.com/index.html 页面跳转到 https://www.another-example.com/index.html 页面时,referrer policy: strict-origin-when-cross-origin 就会生效。在请求 https://www.another-example.com/index.html 页面的时候,只会发送 https://www.examples.com 的主机名作为 Referrer,而不会携带任何用户隐私信息。
总之,referrer policy: strict-origin-when-cross-origin 是一种非常重要的浏览器安全策略,能有效防止攻击者窃取用户隐私信息,为用户提供更加安全的网页访问体验。
### 回答3:
referrer policy: strict-origin-when-cross-origin是一个用于在浏览器中控制HTTP请求Referrer HTTP头的策略。这个策略是站在安全性的角度来考虑保障用户隐私和安全的。
当用户在浏览器中在当前域名下跳转至另一个跨域地址时,例如从abc.com跳转到xyz.com,那么通过HTTP头部信息referer会传递一些敏感信息给xyz.com,例如abc.com地址和当前浏览器页面地址等,这可能会导致用户数据泄露的问题。
通过strict-origin-when-cross-origin策略,浏览器会在必要时为请求添加referer信息,但会在请求目标是同一个站点(源)时添加,而不在请求导致跨越时添加(在这种情况下referer信息是没有帮助的)。 这种策略可以最大程度地保护用户隐私,降低数据泄露和恶意攻击的风险。
此外,strict-origin-when-cross-origin还可以在HTTP/2先进的推送功能中起到一定的作用,因为它提供了更多的安全保障,使得资源推送更加安全可靠。
总之,referrer policy: strict-origin-when-cross-origin能够减少攻击分子和敌对方获取用户信息的能力,以保证信息的安全性。这是一种安全保护机制,可以帮助用户更安全地浏览网站,同时保护敏感数据的隐私。
阅读全文