从HTML欺骗HTTP-request引用？

Question

有没有什么秘密和神秘的方法可以改变我的HTTP-request的referer的值，或者至少不让它显示出来？此外，使用来自另一个域的MitM页面不会解决我的问题，因为您现在只是提交另一个页面的值。

这不是浏览器特定的，我需要在HTML级别上做这件事。

我面临的问题是一个静默登录页面，它向http-Referrer发送一个HTTP-Redirect，除非它是相同的域，或者是空的。

Answer 1

您无法在html级别上控制这一点。您唯一的选择是修改登录代码以不发出重定向，或者将其定向到所需的页面。

Answer 2

这是一个古老的问题，但我知道你可以做到这一点。第一种方法不能保证跨所有浏览器，但您可以使用rel=noreferrer。AFAIK GC是目前唯一支持这一点的UA，但它在标准中。FX也可以，IDK。

第二种方法要可靠得多，它涉及一个很酷的小技巧，有人在IRC上与我分享了这个小技巧：

基本上，从base64编码的data: URI构造iframe。框架文档将有一个侦听window.postMessage()的脚本，当它得到带有要访问的URL的命令时，它将执行window.top.location = msg.data.URI或读取消息的任何方式。对不起，我想不起来了，我已经好几天没睡觉了。

如果你仍然关心的话请尽情享受吧。:)