HTTP的Referrer和Referrer Policy設置

Referrer

referrer是HTTP請求header的報文頭，用於指明當前流量的來源參考頁面。經過這個信息，咱們能夠知道訪客是怎麼來到當前頁面的。這對於Web Analytics很是重要，能夠用於分析不一樣渠道流量分佈、用戶搜索的關鍵詞等。
可是，這個字段同時會形成用戶敏感信息泄漏（如：帶有敏感信息的重置密碼URL，若被Web Analytics收集，則存在密碼被重置的危險）。

Referrer Policy States

新的Referrer規定了五種策略：

• No Referrer：任何狀況下都不發送Referrer信息
• No Referrer When Downgrade：僅當協議降級（如HTTPS頁面引入HTTP資源）時不發送Referrer信息。是大部分瀏覽器默認策略。
• Origin Only：發送只包含host部分的referrer.
• Origin When Cross-origin：僅在發生跨域訪問時發送只包含host的Referer，同域下仍是完整的。與Origin Only的區別是多判斷了是否Cross-origin。協議、域名和端口都一致，瀏覽器才認爲是同域。
• Unsafe URL：所有都發送Referrer信息。最寬鬆最不安全的策略。

referrer具體設置

CSP響應頭

CSP（Content Security Policy）

Content-Security-Policy: referrer no-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;

指令和指令值之間以空格分割，多個指令之間用英文分號分割。

標籤

html頁面的meta標籤指定。
若是content屬性不是合法的取值，瀏覽器會自動選擇no-referer策略。

<meta name="referrer" content="no-referrer|no-referrer-when-downgrade|origin|origin-when-crossorigin|unsafe-url">

標籤的referer屬性

• 做用的只是當前標籤。
• 策略只有三中：不傳、只host、都傳（即完整URL）。
• 針對單個連接設置的策略優先級比CSP和 要高。

<a href="http://example.com" referrer="no-referrer|origin|unsafe-url">xxx</a>

PS：

題外話：樓主以前使用CNZZ進行站長統計，7月份開始，單個頁面的訪問統計失效，所有納入首頁。今天終於明白，應該是博客園增長了referrer policy致使。