HTTP-реферер

В HTTP « Referer » (ошибочное написание « Referrer »). ^[1]) — это необязательное поле заголовка HTTP , которое идентифицирует адрес веб-страницы (т. е. URI или IRI ), с которой был запрошен ресурс. Проверив реферер, сервер, предоставляющий новую веб-страницу, может увидеть, откуда произошел запрос.

В наиболее распространенной ситуации это означает, что когда пользователь щелкает гиперссылку в веб -браузере , в результате чего браузер отправляет запрос на сервер, содержащий целевую веб-страницу, запрос может включать поле Referer, которое указывает последнюю страницу, на которой находится целевая веб-страница. пользователь был включен (тот, где он нажал на ссылку).

Веб-сайты и веб-серверы регистрируют содержимое полученного поля Referer, чтобы идентифицировать веб-страницу, с которой пользователь перешел по ссылке, в рекламных или статистических целях. ^[2] Это влечет за собой потерю конфиденциальности пользователя и может создать угрозу безопасности . ^[3] Чтобы снизить риски безопасности, браузеры постоянно сокращают объем информации, отправляемой в Referer. По состоянию на март 2021 г. по Chrome умолчанию ^[4] Chromium на базе Edge , Firefox , ^[5] Сафари ^[6] по умолчанию в запросах между источниками отправляется только источник, удаляя все, кроме имени домена.

Этимология

Ошибка в написании слова «Referer» была введена в первоначальном предложении ученого-компьютерщика Филиппа Халлама-Бейкера о включении поля заголовка «Referer» в спецификацию HTTP . ^[7]^[8] Ошибка в написании была заложена в камне к моменту (май 1996 г.) ее включения в стандартный документ запроса на комментарии RFC 1945. ^[9] (что «отражает обычное использование протокола, называемого «HTTP/1.0 » в то время); Соавтор документа Рой Филдинг заметил в марте 1995 года, что «ни один (реферер или реферер) не понимается» стандартной программой проверки орфографии Unix того периода. ^[10] С тех пор слово «Referer» стало широко используемым в отрасли при обсуждении HTTP-рефереров; Однако использование орфографической ошибки не является универсальным, поскольку правильное написание «реферер» используется в некоторых веб-спецификациях, таких как Referrer-Policy HTTP-заголовок или объектная модель документа . ^[3]

Подробности

При посещении веб-страницы реферером или ссылающейся страницей является URL-адрес предыдущей веб-страницы, с которой был выполнен переход по ссылке.

В более общем смысле, реферер — это URL-адрес предыдущего элемента, который привел к этому запросу. Например, реферером изображения обычно является HTML- страница, на которой оно должно отображаться. Поле реферера — это необязательная часть HTTP-запроса, отправляемого веб-браузером на веб-сервер. ^[11]

Многие веб-сайты регистрируют рефереры в рамках попыток отслеживать своих пользователей . Большинство программ для анализа веб-журналов могут обрабатывать эту информацию. Поскольку информация о реферере может нарушать конфиденциальность , некоторые веб-браузеры позволяют пользователю отключать отправку информации о реферере. ^[12] Некоторые прокси-серверы и брандмауэры также фильтруют информацию о реферере, чтобы избежать утечки местонахождения закрытых веб-сайтов. Это, в свою очередь, может вызвать проблемы: некоторые веб-серверы блокируют части своего веб-сайта для веб-браузеров, которые не отправляют правильную информацию о реферере, в попытке предотвратить глубокие ссылки или несанкционированное использование изображений ( кража полосы пропускания ). Некоторые прокси-программы имеют возможность указывать адрес верхнего уровня целевого веб-сайта в качестве реферера, что уменьшает эти проблемы, но в некоторых случаях все же может раскрыть информацию о последней посещенной пользователем веб-странице.

Многие блоги публикуют информацию о реферерах, чтобы ссылаться на людей, которые ссылаются на них, и, следовательно, расширять общение. Это, в свою очередь, привело к росту спама со стороны рефереров : рассылки фальшивой информации о реферерах с целью популяризации веб-сайта спамера.

Доступ к информации о реферере на стороне клиента можно получить с помощью document.referrer в JavaScript . ^[13] Это можно использовать, например, для индивидуализации веб-страницы на основе запроса поисковой системы пользователя. Однако поле реферера не всегда включает ключевые слова для поиска, например, при использовании поиска Google с HTTPS. ^[14]

Скрытие реферера

Большинство веб-серверов ведут журналы всего трафика и записывают HTTP-реферер, отправленный веб-браузером для каждого запроса. Это вызывает ряд проблем с конфиденциальностью, и в результате был разработан ряд систем, предотвращающих отправку веб-серверам реального ссылающегося URL-адреса. Эти системы работают либо путем заполнения поля реферера, либо путем замены его неточными данными. Как правило, пакеты интернет-безопасности стирают данные реферера, а веб-серверы заменяют их ложным URL-адресом, обычно своим собственным. Это поднимает проблему реферального спама. Технические детали обоих методов довольно схожи: программные приложения действуют как прокси-сервер и манипулируют HTTP-запросами, в то время как веб-методы загружают веб-сайты внутри фреймов, заставляя веб-браузер отправлять URL-адрес реферера адреса их веб-сайта. Некоторые веб-браузеры предоставляют своим пользователям возможность отключить поля реферера в заголовке запроса. ^[12]

Большинство веб-браузеров не отправляют поле реферера, когда им предлагается перенаправить с помощью поля «Обновить». Сюда не входят некоторые версии Opera и многие мобильные веб-браузеры. не рекомендует использовать этот метод перенаправления . Однако Консорциум Всемирной паутины (W3C) ^[15]

Если доступ к веб-сайту осуществляется через HTTP Secure (HTTPS) соединение и ссылка указывает куда угодно, кроме другого безопасного места, то поле реферера не отправляется. ^[11]

В стандарт HTML5 добавлена поддержка атрибута/значения. rel="noreferrer", который инструктирует пользовательский агент не отправлять реферер. ^[16]

Другой метод сокрытия реферера — преобразовать исходный URL-адрес ссылки в URL-адрес на основе схемы URI данных, содержащий небольшую HTML-страницу с метаобновлением исходного URL-адреса. Когда пользователь перенаправляется с data: странице исходный реферер скрыт.

В стандарте политики безопасности контента версии 1.1 представлена новая директива реферера , которая позволяет лучше контролировать поведение браузера в отношении заголовка реферера. В частности, это позволяет веб-мастеру указать браузеру вообще не блокировать реферер, показывать его только при переходе с того же источника и т. д. ^[17]

Ссылки

^ Горли, Дэвид; Тотти, Брайан; Сэйер, Марджори; Аггарвал, Аншу; Редди, Сайлу (27 сентября 2002 г.). HTTP: Полное руководство . «О'Рейли Медиа, Инк.». ISBN 9781565925090 .
^ Кирнин, Дженнифер (10 апреля 2012 г.). «Реферер. Что такое реферер. Как работают HTTP-рефереры?» . О сайте.com . Архивировано из оригинала 29 мая 2013 г. Проверено 20 марта 2013 г.
^ Jump up to: ^а ^б «Есть ли на вашем сайте утечка?» . Блог ICO . 16 сентября 2015 г. Архивировано из оригинала 24 мая 2018 г. Проверено 16 августа 2018 г.
^ «Политика реферера: по умолчанию используется строгое происхождение при перекрестном происхождении — статус платформы Chrome» . www.chromestatus.com . Проверено 23 марта 2021 г.
^ Ли, Дими; Кершбаумер, Кристоф (22 марта 2021 г.). «Firefox 87 по умолчанию отсекает HTTP-рефереры для защиты конфиденциальности пользователей» . Блог о безопасности Mozilla . Проверено 23 марта 2021 г.
^ Виландер, Джон (10 декабря 2019 г.). «Предотвращение отслеживания. Предотвращение отслеживания» . Блог о WebKit .
^ Халлам-Бейкер, Филипп (21 сентября 2000 г.). «Re: Эл Гор — отец Интернета?» . Группа новостей : alt.folklore.computers . Проверено 20 марта 2013 г.
^ Халлам-Бейкер, Филипп. «Re: Реферер: (так в оригинале)» . Архивы публичных списков рассылки W3C . Архивировано из оригинала 19 февраля 2024 г. Проверено 19 февраля 2024 г.
^ Бернерс-Ли, Т .; Филдинг, Р .; Фристык, Х. (май 1996 г.). Протокол передачи гипертекста — HTTP/1.0 . IETF . дои : 10.17487/RFC1945 . РФК 1945 .
^ Филдинг, Рой (9 марта 1995 г.). «Re: реферер: (так в оригинале)» . ietf-http-wg-old (список рассылки) . Проверено 20 марта 2013 г.
^ Jump up to: ^а ^б Филдинг, Р.; Решке, Дж. (июнь 2014 г.). Филдинг, Р.; Решке, Дж. (ред.). Протокол передачи гипертекста (HTTP/1.1): семантика и содержимое: реферер (RFC 7231 § 5.5.2) . IETF. сек. 5.5.2. дои : 10.17487/RFC7231 . S2CID 14399078 . РФК 7231 . Проверено 26 июля 2014 г.
^ Jump up to: ^а ^б «Network.http.sendRefererHeader» . МозиллаЗин . 10 июня 2007 г. Проверено 27 мая 2015 г.
^ «Свойство ссылки на документ HTML DOM» . W3Школы . Проверено 20 марта 2013 г.
^ Гундерсен, Брет (19 октября 2011 г.). «Влияние зашифрованного поиска Google» . Блог Adobe по цифровому маркетингу . Проверено 17 марта 2021 г.
^ «HTML-методы для обеспечения доступности веб-контента 1.0: элемент META» . W3C . 06.11.2000 . Проверено 20 марта 2013 г.
^ «4.12 Ссылки — Стандарт жизни HTML: 4.12.5.8 Тип ссылки «noreferrer» » . ЧТОРГ . 19 февраля 2016 г. Проверено 19 февраля 2016 г.
^ «Политика безопасности контента, уровень 2» . W3. 2014 . Проверено 8 декабря 2014 г.

Внешние ссылки

RFC 1945 : Протокол передачи гипертекста — HTTP/1.0
RFC 7231 : Протокол передачи гипертекста (HTTP/1.1): семантика и содержимое
RFC 3987 : Интернационализированные идентификаторы ресурсов (IRI).
Политика рефералов — проект редактора W3C

[s3T5A-1] Горли, Дэвид; Тотти, Брайан; Сэйер, Марджори; Аггарвал, Аншу; Редди, Сайлу (27 сентября 2002 г.). HTTP: Полное руководство . «О'Рейли Медиа, Инк.». ISBN 9781565925090 .

[gjEm8-2] Кирнин, Дженнифер (10 апреля 2012 г.). «Реферер. Что такое реферер. Как работают HTTP-рефереры?» . О сайте.com . Архивировано из оригинала 29 мая 2013 г. Проверено 20 марта 2013 г.

[Leak-3] Jump up to: ^а ^б «Есть ли на вашем сайте утечка?» . Блог ICO . 16 сентября 2015 г. Архивировано из оригинала 24 мая 2018 г. Проверено 16 августа 2018 г.

[N9xNj-4] «Политика реферера: по умолчанию используется строгое происхождение при перекрестном происхождении — статус платформы Chrome» . www.chromestatus.com . Проверено 23 марта 2021 г.

[6l6dr-5] Ли, Дими; Кершбаумер, Кристоф (22 марта 2021 г.). «Firefox 87 по умолчанию отсекает HTTP-рефереры для защиты конфиденциальности пользователей» . Блог о безопасности Mozilla . Проверено 23 марта 2021 г.

[6] Виландер, Джон (10 декабря 2019 г.). «Предотвращение отслеживания. Предотвращение отслеживания» . Блог о WebKit .

[hallam-baker-7] Халлам-Бейкер, Филипп (21 сентября 2000 г.). «Re: Эл Гор — отец Интернета?» . Группа новостей : alt.folklore.computers . Проверено 20 марта 2013 г.

[hallam-baker-2-8] Халлам-Бейкер, Филипп. «Re: Реферер: (так в оригинале)» . Архивы публичных списков рассылки W3C . Архивировано из оригинала 19 февраля 2024 г. Проверено 19 февраля 2024 г.

[rfc1945-9] Бернерс-Ли, Т .; Филдинг, Р .; Фристык, Х. (май 1996 г.). Протокол передачи гипертекста — HTTP/1.0 . IETF . дои : 10.17487/RFC1945 . РФК 1945 .

[fielding-10] Филдинг, Рой (9 марта 1995 г.). «Re: реферер: (так в оригинале)» . ietf-http-wg-old (список рассылки) . Проверено 20 марта 2013 г.

[acQA3-11] Jump up to: ^а ^б Филдинг, Р.; Решке, Дж. (июнь 2014 г.). Филдинг, Р.; Решке, Дж. (ред.). Протокол передачи гипертекста (HTTP/1.1): семантика и содержимое: реферер (RFC 7231 § 5.5.2) . IETF. сек. 5.5.2. дои : 10.17487/RFC7231 . S2CID 14399078 . РФК 7231 . Проверено 26 июля 2014 г.

[sendRefererHeader-12] Jump up to: ^а ^б «Network.http.sendRefererHeader» . МозиллаЗин . 10 июня 2007 г. Проверено 27 мая 2015 г.

[document.referrer-13] «Свойство ссылки на документ HTML DOM» . W3Школы . Проверено 20 марта 2013 г.

[wjfXX-14] Гундерсен, Брет (19 октября 2011 г.). «Влияние зашифрованного поиска Google» . Блог Adobe по цифровому маркетингу . Проверено 17 марта 2021 г.

[tt75N-15] «HTML-методы для обеспечения доступности веб-контента 1.0: элемент META» . W3C . 06.11.2000 . Проверено 20 марта 2013 г.

[IO0P3-16] «4.12 Ссылки — Стандарт жизни HTML: 4.12.5.8 Тип ссылки «noreferrer» » . ЧТОРГ . 19 февраля 2016 г. Проверено 19 февраля 2016 г.

[kmzCq-17] «Политика безопасности контента, уровень 2» . W3. 2014 . Проверено 8 декабря 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]