记录一次strict-origin-when-cross-origin的错误

最新推荐文章于 2025-06-18 00:30:22 发布
最新推荐文章于 2025-06-18 00:30:22 发布
阅读量3.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 前端 html 文章标签: vue.js javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392126/article/details/123227705
本文介绍了由于http与https协议差异引发的strict-origin-when-cross-origin错误,讨论了Referer-Policy的作用,用于限制Referer头部信息的发送,以保护用户隐私。Chrome浏览器计划更改默认策略,从no-referrer-when-downgrade过渡到strict-origin-when-cross-origin,以提供更强的隐私保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 用了异步的情况下,是因为http协议的问题。
    我们平台用的是http,直接输入域名,默认是https导致的错误。
    谷歌的90之后版本,默认会带https

错误复现:
输入xxx.com -----> 90版本的chrome: https://xxx.com
报: strict-origin-when-cross-origin
在这里插入图片描述

Referer-Policy

Referer 请求头可能暴露用户的浏览历史,涉及到用户的隐私问题。所以 HTTP 提供了 Referrer-Policy 标头,其用来监管和限制哪些访问来源信息会在 Referer 中发送(应该被包含在生成的请求当中)
在这里插入图片描述

  • no-referrer

整个 Referer 首部会被移除。访问来源信息不随着请求一起发送。

  • no-referrer-when-downgrade (默认值)

在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。

  • origin

在任何情况下,仅发送文件的源作为引

最低0.47元/天 解锁文章

200万优质内容无限畅学
strict-origin-when-cross-origin
m0_72712500的博客
09-28 6万+
*strict-origin-when-cross-origin工作方式、strict-origin-when-cross-origin使用实例及错误码。
strict-origin-when-cross-origin nginx、tomcat、java、vue 跨域问题
iijik55的博客
03-01 1796
配置跨域时,要考虑当前环境,只是代码层次,还是tomcat部署后的,再或者是nginx转发后的 java import java.util.List; import org.springframework.context.annotation.Configuration; import org.springframework.format.FormatterRegistry; import org.springframework.http.converter.HttpMessageConverter;
Referrer-Policy常见属性
qq_42808052的博客
09-30 9988
Referrer-Policy常见属性 Referrer-Policy 首部用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中。 Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Ref
跨域问题解决实录-strict-origin-when-cross-origin
孙玉杰的博客
06-18 269
执行命令:curl -H "Origin: http://localhost:3003" -I http://api.mfe.local/api/get-menu-list-i18n。http://api.mfe.local/api/get-menu-list-i18n =>后端接口。并启用了 Access-Control-Allow-Credentials: true。Origin 为具体域名(http://localhost:3003)http://localhost:3003 =>前端网址。
Referrer Policy 介绍
weixin_33810006的博客
08-16 211
发布于 署名 4.0 国际 (CC BY 4.0)原文链接:https://caixw.io/posts/2017/referrer-policy.html 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也有成为用户的一个不安全...
引用站点策略(Referrer Policy)
weixin_63490470的博客
08-13 3087
引用站点策略(Referrer Policy)是HTTP响应头中的一个安全相关字段,用于控制在用户从一个页面导航到另一个页面时,是否以及如何发送 referrer 信息。Referrer 是指当前页面的上一个页面的 URL,通过这个字段可以追踪用户的来源。默认情况下,浏览器会将完整的 referrer URL 发送给目标页面,这可能包含敏感信息如登录凭证或个人数据。为了保护用户隐私和安全,网站管理员可以通过设置 Referrer-Policy 来控制 referrer 的内容和发送方式。
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
随着Web技术的发展,跨域安全问题愈发突出,"Referrer-Policy : strict-origin-when-cross-origin"便是为了解决这一问题而提出的策略。本文将深入探讨这个策略的含义、作用以及如何在实际开发中应用。 一、Referrer...
cross-origin
05-14
封装JSONP,为了保证每次传入到后台的函数不是同一个,使用数组,保存多个函数。 encodeURIComponent 编码参数中可能存在的特殊符号如 & function JSONP({ url, params = {}, callbackKey = 'cb', success }){...
HTTP之Referrer和Referrer-policy
qq_57289939的博客
02-02 4796
HTTP之Referrer和Referrer-policy
HTTP请求中的referrer和Referrer-Policy
weixin_33714884的博客
05-12 3912
本文将介绍一个涉及安全和隐私的http请求头中的字段—referrer,以及如何通过Referrer Policy去修改referrer的值或者是显示与否。什么是referrer当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示:也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请...
http 策略之 Referrer-Policy
lxw1844912514的博客
12-28 1771
一、背景说道referer ,大家想必知道的清楚一些。referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer...
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 5136
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1613
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin
Referrer、Referrer-policy
m0_56501091的博客
01-10 340
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP).strict-origin: 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
Referrer Policy strict-origin-when-cross-origin
最新发布
06-19
### strict-origin-when-cross-origin 的定义与用法 `strict-origin-when-cross-origin` 是一种 Referrer Policy,用于控制浏览器在发起请求时如何设置 `Referer` 头部。它的主要目的是在保护用户隐私的同时,确保跨域请求的安全性[^4]。 #### 定义 当 `strict-origin-when-cross-origin` 被设置时,浏览器的行为如下: - 对于同源请求(same-origin),完整的 URL(包括路径和查询参数)会被发送作为 `Referer`。 - 对于跨域请求(cross-origin),仅发送源信息(origin),即协议、主机名和端口号,而不包含路径和查询参数。 - 如果请求是通过不安全的连接(如 HTTP)发起到安全的连接(如 HTTPS),则不会发送 `Referer`。 这种策略旨在平衡隐私保护和功能需求,在减少敏感信息泄露的同时,允许服务器获取足够的上下文来处理请求。 #### 用法 在 HTML 中,可以通过 `<meta>` 标签或 HTTP 响应头来设置 Referrer Policy。 1. **使用 `<meta>` 标签** 在 HTML 文件中添加以下代码: ```html <meta name="referrer" content="strict-origin-when-cross-origin"> ``` 2. **使用 HTTP 响应头** 在服务器配置中添加以下响应头: ``` Referrer-Policy: strict-origin-when-cross-origin ``` #### 示例 假设有一个页面位于 `https://example.com/page`,它发起以下请求: | 请求类型 | 目标地址 | 发送的 Referer | |------------------|--------------------------|------------------------------------| | 同源 GET 请求 | `https://example.com/api` | `https://example.com/page?query=1` | | 跨域 GET 请求 | `https://thirdparty.com` | `https://example.com` | | 不安全的跨域请求 | `http://insecure.com` | (无) | #### 注意事项 - 此策略适用于所有类型的资源请求,包括图片、脚本、样式表等。 - 开发者需要根据实际需求选择合适的 Referrer Policy,以在用户体验和隐私保护之间找到平衡。 ```python # 示例:检查 Referrer Policy 的设置 import requests url = "https://example.com" headers = {"Referrer-Policy": "strict-origin-when-cross-origin"} response = requests.get(url, headers=headers) print(response.headers.get("Referer")) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值