从 Chrome 85 开始,Chrome 将检查是否存在引荐来源安全标头。 如果不存在,Chrome 将自动默认为严格的标头。 需要传递完整 URL 的发布者需要添加引用安全标头才能继续这样做。
引用(原文如此)安全标头
引用者安全标头(是的,拼写错误是正确的)控制从源站点向链接目的地发送的 URL。
有几个不同的引用标题。
两种主要的引荐来源头被称为:
- 跨域时严格起源
- 降级时无推荐人
还有其他标题可供选择,但以上两个是流行的选择。
还有其他更严格和更不严格的标头。 但是以上两个对于大多数站点来说是相当合适的。
什么是跨原点时的严格原点?
strict-origin-when-cross-origin 只会将您的域名传递给目标站点,而不是您网页的整个 URL。 此外,如果链接不安全 (HTTP),则链接根本不会传递任何原始 URL 信息。
这是一个有用的安全设置,因为有时私有用户信息会嵌入到 URL 字符串中。 通过使用此安全标头,嵌入在 URL 字符串中的任何敏感信息都将被隐藏。
什么是降级时没有推荐人?
no-referrer-when-downgrade referer 安全标头会将您的整个 URL(包括网页 URL)传递到目标页面。 但是,如果链接指向不安全的 URL,它将不会发送任何 URL 信息。
No-referrer-when-downgrade 很有用,因为它可以防止数据通过不安全的链接泄露,但它仍会显示引用站点的完整 URL。 这对于需要传递完整网页 URL 的边缘情况很有用。
Chrome 85 默认引荐来源网址设置
从计划于 2020 年 8 月发布的 Chrome 85 开始,任何没有 referer 安全标头的站点都将升级为 strict-origin-when-cross-origin。 这将提高 Chrome 浏览器用户的安全性,并提高没有引用安全标头的网站的安全性。
引文
Chrome 的新默认引用策略:Strict-Origin-When-Cross-Origin
