window.open居然404?认识Referer

项目中,遇到了一个问题,上游系统内嵌我们的网站。但是,首次打开的时候,会显示404页面。再次打开就正常了。经过一系列排查,发现是referer的问题。本文就来和大家聊下referer的一些事情

什么是Referer

Referer是一个HTTP头部,它通常由Web浏览器发送给Web服务器,表示用户是从哪个页面链接过来的。例如,如果你在A页面点击一个链接到B页面,那么B页面的服务器在接收到请求时,通常会看到一个Referer头部,指向A页面的URL。

举个例子,从百度搜索页面,跳转到掘金。抓取到referer的数据如下:

可以看出referer中,包含了

  1. 协议 :例如 http:https:
  2. 域名 :如 www.baidu.com
  3. 端口 :如果使用的是非标准端口,例如 :8080
  4. 路径 :资源的路径,例如 /link
  5. 查询参数 :URL中跟随的任何查询参数,例如 ?url=1cb97FGjEHYtDoRZvmBM8jmu-OTYixTlagDYBGnq0jK&wd=&eqid=b7e1b23800021ecc0000000265096d00

因此,referer就是表示来源。

referer有什么作用?

  1. 统计与分析 :网站经常需要对其流量来源进行跟踪和分析。通过检查 Referer 头部,网站可以得知用户是从哪个外部链接、搜索引擎或其他来源来到他们的网站的。这有助于网站所有者了解哪些来源为他们带来了最多的流量,以及用户是如何在网站内部导航的。
  2. 日志记录 :除了分析工具外,Referer 也在服务器的访问日志中记录,这可以帮助网站管理员诊断问题、跟踪错误或理解用户行为。
  3. 增强功能与用户体验 :一些网站使用 Referer 头部来调整或增强用户体验。例如,某些服务可能会基于引荐页面为用户提供特定的内容或广告。
  4. 安全与反盗链 :尽管 Referer 头部本身并不是一个安全特性,但有时它被用作一个简单的方法来试图预防所谓的"热链接"或"盗链"。例如,一个图片主机可能只允许某些引荐者的请求访问其图片,从而试图防止其他网站直接链接其资源。
  5. 网络策略决策Referer 头部可以用于决策,例如内容适配、缓存决策或其他与网络交付优化相关的策略。

我们后端代码中,就是使用了安全与反盗链,禁止了其他网站跳转。导致我们自己打开时没有问题,别人跳转过来出现了404

referer安全性

由于referer中,可能会存在用户隐私信息,不希望被暴露。所以,在进行跳转时候,需要注意做一些安全措施。

  • 源页面,增加meta,在跳转的时候,不传referer
ini 复制代码
    <meta name="referrer" content="no-referrer">
  • 源服务端,配置请求头

    服务器端设置Referrer-Policy HTTP头部。Referrer-Policy: no-referrer。但是,这样会导致整个站点不发送Referer头部。

  • js跳转设置

javascript 复制代码
var link = document.createElement('a'); 
link.href = 'https://example.com'; 
link.target = '_blank'; 
link.rel = 'noreferrer'; 
document.body.appendChild(link); 
link.click(); 
document.body.removeChild(link);

也就是,设置标签为noreferrer

bash 复制代码
<a href="https://example.com"rel="noreferrer">https://example.com</a>

说了这么多,就是由于服务端referer的限制,导致了window.open显示404。从安全的角度,也应该对referer进行限制。我们最后使用的方式是js跳转方式,使用了noreferrer

相关推荐
WebGirl10 分钟前
内网穿透方式
前端
hoLzwEge43 分钟前
前端项目的基石:深入解读 package.json 的作用与核心配置
前端·前端框架
奇奇怪怪的1 小时前
Agentic RAG:Agent 驱动的自主检索
前端
陆枫Larry1 小时前
页面接口换图后不刷新,刷新页面后才看得到新图
前端
0x861 小时前
# Flutter 实时语音识别工程实践:从音频采集到流式 ASR 的完整链路
前端
Patrick_Wilson1 小时前
从一次 Safari 白屏,聊聊 CDN 外置 React 的坑与前端监控盲区
前端·react.js·cdn
lichenyang4532 小时前
从 Demo 到本地 HAR 包:把 HarmonyOS JSBridge 运行时做成可复用库
前端
不简说2 小时前
拖拽DIY表格插件来了!sv-print 七月更新:这次真的能自己拼表格了
前端·javascript·前端框架
weixin_471383032 小时前
Next.js - 04 - 深入理解next.js渲染原理
前端·javascript·next.js
ssshooter2 小时前
小程序分包页面报 "has not been registered yet" 的隐蔽根因:一个动态 import 拖垮整个分包
前端·javascript·微信小程序