网站建设维护文档,网络推广引流方式,网站服务器环境不支持mysql数据库,个人域名注册入口Origin 或 Referer 的关系和区别 Origin 和 Referer 都可以服务端用来做来源验证#xff0c;来防止 csrf 攻击#xff0c;都是浏览器自动带在请求头的但是#xff0c;可以通过 Referrer Policy 来禁止请求携带 referer#xff0c;【请求头增加字段 Referrer-Policy: no-ref… Origin 或 Referer 的关系和区别 Origin 和 Referer 都可以服务端用来做来源验证来防止 csrf 攻击都是浏览器自动带在请求头的但是可以通过 Referrer Policy 来禁止请求携带 referer【请求头增加字段 Referrer-Policy: no-referrer/origin等】所以服务器验证请求中的 referer 不太可靠因此标准委员会又制定了 origin 属性在一些重要的场合比如通过 XMLHttpRequest 、fetch 发起跨站请求时都会带上 originOrigin 包含协议、主机和端口不包含路径Referer 只包含了源页面的 URI包含路径而且该字段可能在用户隐私方面存在一些敏感性问题。Origin 主要用于跨站请求的安全性检查而 Referer 则是提供请求来源信息的通用手段可用于日志记录、统计分析等。所以对于 csrf 来源验证服务器的策略是有优先判断 origin如果请求头中没有包含 origin 属性 再根据实际情况判断是否使用 referer Origin 用途 Origin 请求头用于表示一个 URI 的起源包括协议、主机和端口。格式 Origin: scheme://host:port安全性 Origin 是由浏览器自动设置的它通常用于跨站请求的安全性检查。在跨域请求时浏览器会检查目标服务器是否允许来自特定 Origin 的请求如果不允许浏览器会阻止此类请求。origin的值不能手动修改不能手动设置都是浏览器自动的 Referer 用途 Referer 请求头用于表示请求的来源页面的 URI。它指明了用户是从哪个页面跳转或提交请求的。格式 Referer: origin安全性 Referer 是由浏览器设置的但它不像 Origin 那样用于强制安全性检查。虽然 Referer 也可以在某些场景下用于防范 CSRF 攻击但它的值可由用户和服务端控制不是可靠的安全控制手段。可以手动修改document.write(meta namereferrer contenthttp://example.com)但是会收到安全限制不建议
