从 Chrome 85 开始,Chrome 将检查是否存在引荐来源安全标头。 如果不存在,Chrome 将自动默认为严格的标头。 需要传递完整 URL 的发布者需要添加引用安全标头才能继续这样做。
引用(原文如此)安全标头
引用者安全标头(是的,拼写错误是正确的)控制从源站点向链接目的地发送的 URL。
有几个不同的引用标题。
两种主要的引荐来源头被称为:
- 跨域时严格起源
- 降级时无推荐人
还有其他标题可供选择,但以上两个是流行的选择。
还有其他更严格和更不严格的标头。 但是以上两个对于大多数站点来说是相当合适的。
什么是跨原点时的严格原点?
strict-origin-when-cross-origin 只会将您的域名传递给目标站点,而不是您网页的整个 URL。 此外,如果链接不安全 (HTTP),则链接根本不会传递任何原始 URL 信息。
这是一个有用的安全设置,因为有时私有用户信息会嵌入到 URL 字符串中。 通过使用此安全标头,嵌入在 URL 字符串中的任何敏感信息都将被隐藏。
什么是降级时没有推荐人?
no-referrer-when-downgrade referer 安全标头会将您的整个 URL(包括网页 URL)传递到目标页面。 但是,如果链接指向不安全的 URL,它将不会发送任何 URL 信息。
No-referrer-when-downgrade 很有用,因为它可以防止数据通过不安全的链接泄露,但它仍会显示引用站点的完整 URL。 这对于需要传递完整网页 URL 的边缘情况很有用。
Chrome 85 默认引荐来源网址设置
从计划于 2020 年 8 月发布的 Chrome 85 开始,任何没有 referer 安全标头的站点都将升级为 strict-origin-when-cross-origin。 这将提高 Chrome 浏览器用户的安全性,并提高没有引用安全标头的网站的安全性。
引文
Chrome 的新默认引用策略:Strict-Origin-When-Cross-Origin
更多资源:
window.addEventListener( 'load', function() { setTimeout(function(){ striggerEvent( 'load2' ); }, 500); });
window.addEventListener( 'load2', function() {
if( sopp != 'yes' && addtl_consent != '1~' ){
!function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)}(window,document,'script', '
if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }
fbq('init', '1321385257908563');
fbq('track', 'PageView');
fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'chrome-85-website-referrer-headers', content_category: 'news web-development' }); } });