引用来源策略 (Referrer Policy)
引用来源策略 (Referrer Policy) 是什么?
引用来源策略 (Referrer Policy)HTTP 响应头(或 meta 标签),用于控制浏览器在外发请求的 Referer 头中携带多少来源 URL 信息。
Referrer-Policy 头允许站点在用户点击链接、加载子资源或发生导航时限制 Referer 头中泄露的信息。若不加限制,完整 URL(包括含有令牌、ID 或个人信息的查询参数)可能流向第三方服务器、统计与广告网络。可选值从 no-referrer(不发送)到 strict-origin-when-cross-origin(跨源仅发送 origin)和 unsafe-url(发送完整 URL)。目前 Chromium 与 Firefox 的默认值为 strict-origin-when-cross-origin。显式设置严格策略是低成本的隐私与数据泄露防护手段。
● 示例
- 01
Referrer-Policy: strict-origin-when-cross-origin
- 02
阻止会话令牌通过 Referer 头泄露到嵌入式广告脚本。
● 常见问题
引用来源策略 (Referrer Policy) 是什么?
HTTP 响应头(或 meta 标签),用于控制浏览器在外发请求的 Referer 头中携带多少来源 URL 信息。 它属于网络安全的 应用安全 分类。
引用来源策略 (Referrer Policy) 是什么意思?
HTTP 响应头(或 meta 标签),用于控制浏览器在外发请求的 Referer 头中携带多少来源 URL 信息。
引用来源策略 (Referrer Policy) 是如何工作的?
Referrer-Policy 头允许站点在用户点击链接、加载子资源或发生导航时限制 Referer 头中泄露的信息。若不加限制,完整 URL(包括含有令牌、ID 或个人信息的查询参数)可能流向第三方服务器、统计与广告网络。可选值从 no-referrer(不发送)到 strict-origin-when-cross-origin(跨源仅发送 origin)和 unsafe-url(发送完整 URL)。目前 Chromium 与 Firefox 的默认值为 strict-origin-when-cross-origin。显式设置严格策略是低成本的隐私与数据泄露防护手段。
如何防御 引用来源策略 (Referrer Policy)?
针对 引用来源策略 (Referrer Policy) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- appsec№ 496
HTTP 安全响应头
指示浏览器执行强制 HTTPS、限制嵌入、内容策略和引用来源等防御行为的响应头集合。
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
- appsec№ 960
同源策略 (SOP)
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
- appsec№ 223
CORS(跨源资源共享)
由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。
- appsec№ 983
Secure Cookie 标志
告诉浏览器仅在 HTTPS 上发送该 Cookie 的属性,防止其在网络上以明文传输。
- appsec№ 961
SameSite Cookie
控制浏览器在跨站请求中是否携带 Cookie 的属性,取值为 Strict、Lax、None,主要用于缓解 CSRF。