确保查询字符串不会作为HTTP Referrer数据的一部分包含在内的最佳方法是什么?
我注意到一些潜在的敏感信息(例如 UTM字段,实际上并不需要SSL)可能会泄漏。
目标是提供原始网址,例如:
http://mywebsite.com/mypage/?myvar=xxx
仅作为推荐人传递:
http://mywebsite.com/mypage/
我已阅读有关referrer policy meta指令(
<meta name="referrer" content="origin">),但it doesn't seem to be widely implemented。
答案 0 :(得分:1)
我会说你应该在单独的链接(noreferrer)中使用<a rel="noreferrer">指令,或者你设置一个引用者政策。
但还有其他解决方案,即黑客攻击:像这样:
另一个引用隐藏方法是将原始链接URL转换为基于数据URI方案的URL,该URL包含对原始URL进行元刷新的小HTML页面。当用户从data:页面重定向时,隐藏原始引用者。此方法的第一个公开实现是ownCloud的Darefer应用程序
这是引自:https://en.wikipedia.org/wiki/HTTP_referer#Referer_hiding
PS。这完全是为了完全隐藏引用标头,而不仅仅是删除查询字符串。