假设页面有一个链接,点击这个链接,会向服务器发送Http请求,加载这个链接指向的页面,在这个Http请求头里,会包含一个Referrer的标头,用于向服务器说明这个Http请求是从哪个页面跳转过来的,那么这个Referrer标头的内容就很容易被前端黑客所攻击。
所以在服务器,主要是Nginx,添加标头,用于过滤Referrer标头的不安全信息
http {
add_header Referrer-Policy "no-referrer-when-downgrade";
}
Referrer-Policy这个标头有常用的几个值:
no-referrer: Referer标头不随着请求一起发送
no-referrer-when-downgrade :
在同等安全级别(HTTPS -> HTTPS)的情况下,Referer 会被发送,
在协议降级(HTTPS -> HTTP)的情况下 Referer 不会被发送。
origin:
Referrer标头内容信息只包括协议+域名+端口
