Http的referer字段

一、基础定义

RefererHTTP 请求头 中的一个字段,作用是告诉服务器:当前这个请求,是从哪个网页 / URL 发起的

关键坑点:拼写错误

  • 正确英文单词:Referrer(两个 r)
  • HTTP 标准里:Referer(一个 r)这是历史拼写错误,永久无法修改,所有协议、代码、报文里都必须写一个 r。

二、核心规则:请求从哪来,Referer 就是谁

一句话铁律当前请求在哪个页面执行,Referer 就填哪个页面的 URL,和请求访问的目标地址无关。

你的经典场景

  • 页面所在网站:网站 Bhttps://b.com/index.html

  • 页面里嵌入请求:访问 网站 A 的资源(https://a.com/script.js

  • 最终请求头: http

    复制代码
    Referer: https://b.com/index.html

结论:Referer 只看「发起请求的页面」,不看「请求访问的目标」


三、什么时候会带 Referer?(浏览器自动添加)

只要请求是从网页里主动触发的,浏览器就会自动带上 Referer:

  1. 点击页面链接跳转
  2. 加载 <script> <img> <link> 标签资源
  3. AJAX / Fetch 接口请求
  4. 表单提交

四、什么时候没有 Referer?

  1. 直接在地址栏输入 URL 访问
  2. 书签 / 收藏夹打开页面
  3. 从 HTTPS 网站 → 跳转到 HTTP 网站(安全降级,浏览器自动删除)
  4. 浏览器隐私模式 / 插件屏蔽
  5. 服务器设置了 Referrer-Policy 禁止发送
  6. 第三方工具、爬虫、代码手动发请求(可不带 / 伪造)

五、Referer 三大核心作用(必考)

1. 流量统计(网站分析)

统计网站流量来源:

  • 从百度 / 谷歌搜索来的
  • 从其他网站跳转来的
  • 直接输入地址来的工具:百度统计、Google Analytics 全靠 Referer 分析来源。

2. 防盗链(Anti-hotlinking)------ 最常用、最重要

防止其他网站白嫖你的服务器资源(图片、JS、视频、音频)。

  • 正常:自己网站(A)请求自己资源 → Referer=A → 允许
  • 盗链:别人网站(B)嵌入你的资源 → Referer=B → 拒绝(403 Forbidden)

这就是你在 B 网站嵌 A 的 JS 会失效的根本原因。

3. 安全防护:CSRF 攻击防御

校验请求来源是否为本站页面,防止跨站伪造请求攻击。例:支付接口只允许 Referer=自己网站 的请求。


六、Referrer-Policy(控制 Referer 发送规则)

用来保护隐私,避免 Referer 泄露页面路径 / 敏感参数,常用策略:

  1. no-referrer:完全不发送 Referer
  2. origin :只发域名(https://b.com),不发完整路径
  3. same-origin:同域发完整 URL,跨域不发
  4. strict-origin-when-cross-origin (默认推荐):
    • 同域:完整 URL
    • 跨域:只发域名
    • HTTPS→HTTP:不发

设置方式:

html

预览

复制代码
<meta name="referrer" content="strict-origin-when-cross-origin">

七、Referer 重要弱点

  1. 可被伪造爬虫、代码、抓包工具可以随意修改 Referer,冒充合法来源。
  2. 可被屏蔽浏览器、插件、隐私模式可直接删除 Referer。

→ 结论:Referer 只能做基础校验,不能做绝对安全校验

相关推荐
微硬创新28 分钟前
汽车制造产线协同:耐达讯PROFINETDeviceNet网关在机器人通信中的应用
人工智能·物联网·网络协议·自动化·汽车·制造·信息与通信
米尔的可达鸭30 分钟前
深入操作系统 Socket 底层:套接字控制块、FD映射、阻塞IO核心完整实现
arm开发·数据结构·websocket·网络协议·算法·架构·安全架构
数智化管理手记31 分钟前
智能财务能替代人工核算吗?智能财务核心功能包含哪些?
大数据·网络·数据库·数据挖掘·精益工程
白帽小阳1 小时前
我的AI辅助开发工具链2026版:从编码到部署的全栈智能实践
网络·人工智能·学习·安全·自动化
衣舞晨风1 小时前
什么样的 AI 网关算是一个好网关
网络·人工智能·网关·ai·大模型·ai网关
Keepingrun2 小时前
http登录和授权
网络·网络协议·http
Sirius Wu2 小时前
OpenClaw 并发安全完整详解
网络·人工智能·安全·ai·架构·aigc
rcms152702692182 小时前
AMAT 0190-27952-04 终端服务器
网络
海外数字观察家3 小时前
品未云:博兹瓦纳华商批发零售一体化 ERP,破解本土软件适配难题|CSDN 技术分享
大数据·网络·人工智能·博兹瓦纳进销存系统·博兹瓦纳收银系统·博兹瓦纳erp系统·博兹瓦纳仓库管理系统
段一凡-华北理工大学3 小时前
AI Agent 从入门到封神:24 讲打造你的超级智能体~系列文章23:从Demo到上线:Agent应用的架构设计、性能优化与成本控制实战
运维·网络·人工智能·性能优化·高炉炼铁·工业智能体