一个拼写错误让整个互联网一起犯错

waynaqua2025-06-23 13:59

在 Web 开发的世界里,有这样一个字段------它每天默默地工作着,记录着用户的来源,保护着网站的安全,却因为一个历史性的拼写错误而成为了程序员们茶余饭后的谈资。它就是 HTTP 头部中的 Referer 字段。

什么是 HTTP Referer

HTTP Referer 是一个请求头字段,用于告诉服务器用户是从哪个页面链接过来的。当你从一个网页点击链接跳转到另一个网页时,浏览器会自动在新的 HTTP 请求中添加 Referer 头,其值为上一个页面的 URL。

arduino 复制代码 
Referer: https://example.com/page1.html

这告诉服务器,用户是从 www.example.com/page1.html 这个页面跳转过来的。

核心作用

1. 流量来源分析

网站运营者可以通过分析 Referer 信息了解:

  • 用户从哪些网站访问过来
  • 哪些页面是主要的流量入口
  • 外部链接的效果如何
  • 用户的浏览路径和行为习惯

2. 防盗链保护

许多网站利用 Referer 来防止其他网站直接链接自己的图片、视频等资源。服务器可以检查 Referer 是否来自允许的域名,如果不是则拒绝请求。

ruby 复制代码 
# nginx 图片防盗链配置
location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
    valid_referers none blocked server_names
                   *.mysite.com *.mydomain.com;
    if ($invalid_referer) {
        return 403;
    }
}

3. 安全防护

用于 CSRF 攻击防护和恶意请求检测:

bash 复制代码 
# nginx CSRF 攻击防护
location /api {
    valid_referers none blocked server_names *.example.com;
    if ($invalid_referer) {
        return 403;
    }
    proxy_pass http://backend;
}

这样就可以检查请求是否来自合法域名(*.example.com)。

著名的拼写错误

HTTP Referer 存在一个著名的拼写错误:正确的英文单词应该是 "Referrer",但在 1995 年制定 HTTP/1.0 规范时被误写为 "Referer"(少了一个 r)。

当错误被发现时,HTTP 协议已经广泛部署,为保持向后兼容性,这个拼写错误被永久保留:

  • HTTP 头部 :使用错误拼写 Referer
  • HTML 属性 :使用正确拼写 referrer
xml 复制代码 
<!-- HTML中使用正确拼写 -->
<meta name="referrer" content="origin">

<!-- HTTP头中使用错误拼写 -->
Referer: https://example.com

Referrer-Policy 策略

为了解决隐私问题,W3C 制定了 Referrer Policy 规范,提供了精细的控制机制,现代浏览器支持 Referrer-Policy 来控制 Referer 的发送行为:

策略值

策略 描述 使用场景
no-referrer 不发送 Referer 最高隐私保护
no-referrer-when-downgrade HTTPS 到 HTTP 时不发送,其他情况正常发送 现代浏览器默认
origin 只发送协议、域名和端口 平衡功能和隐私
origin-when-cross-origin 同源发送完整 URL,跨域只发送域名 推荐的默认策略
same-origin 仅同源请求发送 Referer 内部分析
strict-origin 类似 origin,但 HTTPS 到 HTTP 时不发送: 较少
strict-origin-when-cross-origin 综合考虑安全性的策略 现代浏览器默认
unsafe-url 始终发送完整 URL 较少

设置方法

HTTP 响应头:

arduino 复制代码 
res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin');

HTML Meta 标签:

ini 复制代码 
<meta name="referrer" content="strict-origin-when-cross-origin">

元素级别控制:

ini 复制代码 
<a href="https://external.com" referrerpolicy="no-referrer">外部链接</a>
<img src="image.jpg" referrerpolicy="origin">

rel 属性相关值

noreferrer

阻止发送 Referer 头:

ini 复制代码 
<a href="https://external.com" rel="noreferrer">不发送Referer</a>

noopener

防止新窗口访问原窗口对象:

ini 复制代码 
<a href="https://external.com" target="_blank" rel="noopener">安全新窗口</a>

nofollow

告诉搜索引擎不要跟踪链接:

ini 复制代码 
<a href="https://untrusted.com" rel="nofollow">不被索引的链接</a>

组合使用

ini 复制代码 
<a href="https://external.com"
   target="_blank"
   rel="noopener noreferrer nofollow">
   完全安全的外部链接
</a>

总结

HTTP Referer 虽然只是一个小小的请求头,但它承载着 Web 发展的历史,见证了互联网从功能至上到隐私保护的转变。那个著名的拼写错误也提醒我们,技术标准的制定需要更加严谨和谨慎。

相关推荐
Bruce_Liuxiaowei4 小时前
网站敏感文件_目录大全(分类记忆+风险标注)
运维·网络·网络协议·http·网络安全·https
charlee446 小时前
使用cpp-httplib发布HTTP服务
c++·http·json·cpp-httplib
爬山算法8 小时前
Netty(22)如何实现基于Netty的HTTP客户端和服务器?
服务器·网络协议·http
爱吃香蕉的阿豪8 小时前
NET Core中ConcurrentDictionary详解:并发场景下的安全利器及服务端实践
安全·http·.netcore·高并发
小阿宁的猫猫1 天前
CSRF漏洞的原理、防御和比赛中的运用
安全·http·xss·csrf
教练、我想打篮球1 天前
120 同样的 url, header, 参数, 使用 OkHttp 能够成功获取数据, 使用 RestTemplate 报错
http·okhttp·resttemplate·accept
zfj3211 天前
websocket为什么需要在tcp连接成功后先发送一个标准的http请求,然后在当前tcp连接上升级协议成websocket
websocket·tcp/ip·http
杀手不太冷!1 天前
Jenkins的安装与使用;git clone url的时候,url为http和ssh时候的区别
git·http·jenkins
irisart1 天前
第二章【NGINX 开源功能】—— HTTP 服务器(下)
nginx·http·开源
Neolnfra2 天前
渗透测试标准化流程
开发语言·安全·web安全·http·网络安全·https·系统安全
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04BongoCat - 跨平台键盘猫动画工具05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06jdk21下载、安装(Windows、Linux、macOS)07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08sqli-labs靶场通关笔记:第18-19关 HTTP头部注入09Open-AutoGLM Windows 安装部署教程10RedissonClient的配置解析