A summary of Referer and Origin
1) 知识是'凌乱'的,各位看官看个'热闹'即可
2) 内容不断'更新'
1、理解有盲区,需要及时'纠正'
2、内容交叉有'重复',需要'适当删减'
3、扩展'视野'
3) 以下内容都与'Referer'和'Origin'请求头有'关联'Referrer-Policy Response Header of HTTP Miscellaneous Talk
iframe tag referrerpolicy attribute
How to access legally across domains
nginx and cross-domain details exploration
Use the referer module and secure_link module to provide variable hotlink prevention
2. Excavation of details, key points and difficulties
① server_names of nginx valid_referers directive
1) 背景:我们知道'$server_name'表示'主域名'
2) 这里'server_names'是什么'特殊'的属性值?
理解:代表匹配server_name指令的'所有'参数,而且'必须'包含'http[s]://'
Three things to note about referer
测试前提: 做好'本地hosts'解析
$invalid_referer变量的值为"1"还是为'空字符串' --> 区别于之前一直以为是'0',虽然二者等效
② Association between Origin and Referer request headers
1) curl、wget等客户端工具'不会自动发送'Referer或Origin请求头
场景:如果要配置'拨测',需要显示'携带'这两个请求头,尤其是跨域名'简单请求'必须携带'Origin'
2) 浏览器对'Referer'和'Origin'请求头行为控制
1、只要'跨域',浏览器一定会自动携带'Origin'请求头,不管是'简单请求'还是'复杂请求'
对比:Referer请求头行为受标签'refererpolicy'属性、meta标签、Referer-Policy响应头控制
补充:一般'Origin'和'Referer'请求头在跨域中是成对'出现'的
3) Referer请求头和Origin请求头'值'的形式
1、Origin表明了请求'来自于哪个站点',仅仅包括'协议、域名和端口',并'不包含'任何path路径信息
Origin:https://www.wzj.com:8843
2、Rerferer在有值的情形,'可以'包括协议、域名、端口、还包括'路径和参数'
Referer:https://www.wzj.com:8843/api/v1?name=wzj
备注: '值的形式比较杂乱',不过一般就是地址栏中除了'#锚点'之外的'全路径'形式,存在信息泄露
Referer will not be sent in six situations
