referrer策略和meta标签的问题

referrer策略和meta标签的问题

请求后端接口时，banner图片的请求出现403错误：GEThttp://xxxxxxxxxxxx403（Forbidden）。在网上搜寻一番，解决方法如下：在index.html中的head中添加<meta name="referrer" content="no-referrer" />。

在此之前，关于referrer，知之甚少。参考https://imququ.com/post/refer...，说是一种引用策略，可以用来防止图片或视频被盗。它的原理是：http 协议中，如果从一个网页跳到另一个网页，http 头字段里面会带个 Referrer。图片服务器通过检测 Referrer 是否来自规定域名，来进行防盗链。如果没有设置referrer，那就可以直接绕过防盗链机制，直接使用或盗取。

referrer 的值有哪些？

1、no-referrer：所有请求不发送 referrer。

2、no-referrer-when-downgrade（默认值）：当请求安全级别下降时不发送 referrer。目前，只有一种情况会发生安全级别下降，即从 HTTPS 到 HTTP。HTTPS 到 HTTP 的资源引用和链接跳转都不会发送 referrer。

3、same-origin：对于同源的链接和引用，会发送referrer，其他的不会。

4、origin：在任何情况下仅发送源信息作为引用地址。源信息包括访问协议和域名。

5、strict-origin：在安全级别下降时不发送 referrer；而在同等安全级别的情况下仅发送源信息。注意：这个是新加的标准，有些浏览器可能还不支持。

6、origin-when-cross-origin：同源的链接和引用，会发送完全的 referrer 信息；但非同源链接和引用时，只发送源信息。

7、strict-origin-when-cross-origin：同源的链接和引用，会发送 referrer。安全级别下降时不发送 referrer。其它情况下发送源信息。注意：这个是新加的标准，有些浏览器可能还不支持。

8、unsafe-url：无论是否发生协议降级，无论是本站链接还是站外链接，统统都发送 Referrer 信息。正如其名，这是最宽松而最不安全的策略。

语法

Referrer-Policy: no-referrer

Referrer Policy 的设置方法

1、CSP（Content Security Policy），是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。

Content-Security-Policy:referrerno-referrer|no-referrer-when-downgrade|origin|origin-when-cross-origin|unsafe-url;

CSP 的指令和指令值之间以空格分割，多个指令之间用英文分号分割。

2、<meta> 标签

<metaname="referrer"content="no-referrer|no-referrer-when-downgrade|origin|origin-when-crossorigin|unsafe-url">

如果 content 属性不是合法的取值，浏览器会自动选择 no-referrer 这种最严格的策略。

3、通过a、area、link元素的 referrer属性

a href="http://www.baidu.com" referrer="no-referrer|origin|unsafe-url"

meta标签的延伸

meta标签用来描述一个HTML网页文档的属性，有关页面的元信息，主要有两个属性：name 和 http-equiv

1、<meta name="参数" content="具体的描述">

name属性主要用于描述网页，比如网页的关键词，叙述等。属性值为content，content中的内容是对name填入类型的具体描述，便于搜索引擎抓取。

2、name的参数

①、keywords：网页关键字

<metaname="keywords"content="food,water">

②、description：网站内容的描述，网站主要内容

<metaname="description"content="StudyEnglishonline">

③、viewport：移动端视口，仅供移动设备使用

<metaname="viewport"content=":搜索引擎将忽略此网页，等价于noindex，nofollow
noindex:搜索引擎不索引此网页
nofollow:搜索引擎不继续通过此网页的链接索引搜索其它的网页
all:搜索引擎将索引此网页与继续通过此网页的链接索引，等价于index，follow
index:搜索引擎索引此网页
follow:搜索引擎继续通过此网页的链接索引搜索其它的网页