Http的referer字段

一、基础定义

RefererHTTP 请求头 中的一个字段,作用是告诉服务器:当前这个请求,是从哪个网页 / URL 发起的

关键坑点:拼写错误

  • 正确英文单词:Referrer(两个 r)
  • HTTP 标准里:Referer(一个 r)这是历史拼写错误,永久无法修改,所有协议、代码、报文里都必须写一个 r。

二、核心规则:请求从哪来,Referer 就是谁

一句话铁律当前请求在哪个页面执行,Referer 就填哪个页面的 URL,和请求访问的目标地址无关。

你的经典场景

  • 页面所在网站:网站 Bhttps://b.com/index.html

  • 页面里嵌入请求:访问 网站 A 的资源(https://a.com/script.js

  • 最终请求头: http

    复制代码
    Referer: https://b.com/index.html

结论:Referer 只看「发起请求的页面」,不看「请求访问的目标」


三、什么时候会带 Referer?(浏览器自动添加)

只要请求是从网页里主动触发的,浏览器就会自动带上 Referer:

  1. 点击页面链接跳转
  2. 加载 <script> <img> <link> 标签资源
  3. AJAX / Fetch 接口请求
  4. 表单提交

四、什么时候没有 Referer?

  1. 直接在地址栏输入 URL 访问
  2. 书签 / 收藏夹打开页面
  3. 从 HTTPS 网站 → 跳转到 HTTP 网站(安全降级,浏览器自动删除)
  4. 浏览器隐私模式 / 插件屏蔽
  5. 服务器设置了 Referrer-Policy 禁止发送
  6. 第三方工具、爬虫、代码手动发请求(可不带 / 伪造)

五、Referer 三大核心作用(必考)

1. 流量统计(网站分析)

统计网站流量来源:

  • 从百度 / 谷歌搜索来的
  • 从其他网站跳转来的
  • 直接输入地址来的工具:百度统计、Google Analytics 全靠 Referer 分析来源。

2. 防盗链(Anti-hotlinking)------ 最常用、最重要

防止其他网站白嫖你的服务器资源(图片、JS、视频、音频)。

  • 正常:自己网站(A)请求自己资源 → Referer=A → 允许
  • 盗链:别人网站(B)嵌入你的资源 → Referer=B → 拒绝(403 Forbidden)

这就是你在 B 网站嵌 A 的 JS 会失效的根本原因。

3. 安全防护:CSRF 攻击防御

校验请求来源是否为本站页面,防止跨站伪造请求攻击。例:支付接口只允许 Referer=自己网站 的请求。


六、Referrer-Policy(控制 Referer 发送规则)

用来保护隐私,避免 Referer 泄露页面路径 / 敏感参数,常用策略:

  1. no-referrer:完全不发送 Referer
  2. origin :只发域名(https://b.com),不发完整路径
  3. same-origin:同域发完整 URL,跨域不发
  4. strict-origin-when-cross-origin (默认推荐):
    • 同域:完整 URL
    • 跨域:只发域名
    • HTTPS→HTTP:不发

设置方式:

html

预览

复制代码
<meta name="referrer" content="strict-origin-when-cross-origin">

七、Referer 重要弱点

  1. 可被伪造爬虫、代码、抓包工具可以随意修改 Referer,冒充合法来源。
  2. 可被屏蔽浏览器、插件、隐私模式可直接删除 Referer。

→ 结论:Referer 只能做基础校验,不能做绝对安全校验

相关推荐
Full Stack Developme2 小时前
HTTP 转发 与 重定向
网络·网络协议·http
傻啦嘿哟2 小时前
环境变量配置法:通过HTTP_PROXY让OpenClaw走代理的最佳实践
网络·网络协议·http
2502_911679142 小时前
Agilent(现是德科技)N5182B MXG X系列射频矢量信号源
网络
以太浮标2 小时前
华为eNSP模拟器综合实验之- 华为设备 LLDP(Link Layer Discovery Protocol)解析
运维·服务器·网络·网络协议·华为·信息与通信·信号处理
Lanren的编程日记2 小时前
Flutter 鸿蒙应用离线模式实战:无网络也能流畅使用
网络·flutter·harmonyos
2601_949815332 小时前
Node.js HTTP模块详解:创建服务器、响应请求与客户端请求
服务器·http·node.js
潜创微科技2 小时前
CH397:单芯片USB2.0/2.1转10/100M以太网高集成低功耗网卡芯片方案
网络
bdzbongbang2 小时前
带接地变压器的发电机中性点接地电阻柜
网络·经验分享·安全
minji...2 小时前
Linux 网络基础(一)认识协议,网络协议,网络协议分层框架搭建,网络传输基本流程,跨网络的数据传输
linux·运维·服务器·网络·c++·网络协议