没有使用Referrer-策略设置标头

Question

我有一个域，比如www.example.com，我将它重定向到www.whatismyreferer.com来检查引用程序。当我使用PHP头重定向页面时，它显示没有引用/隐藏结果。我想在whatismyrefer.com上将referer设置为whatismyrefer.com。

下面是我在index.php文件www.example.com上的代码

<?php

header("Referrer-Policy: origin");
header("Location: https://www.whatismyreferer.com",true, 302);
?>

我也尝试过referrer-policy: unsafe-url，但仍然没有得到推荐。

但如果我用：

<meta name="referrer" content="origin">
<meta http-equiv="refresh" content="0;https://www.whatismyreferer.com">

然后显示推荐人。我不想用元标记来做这件事，我想用头location来做。

Answer 1

我认为问题可能在于你如何测试它。3xx重定向保留原来的Referer -浏览器不会在重定向本身上设置新的Referer。因此，如果您在站点上直接请求index.php (没有引用者)，那么在重定向请求上也不会有引用者。

元刷新不是3xx HTTP重定向，其行为类似于常规锚点/链接，因此浏览器生成一个Referer。

相反，您需要使用辅助文件进行测试(例如。test-referer.html)，它链接到index.php，以便在测试重定向/Referrer-Policy头之前生成Referer。

<!-- test-referer.html -->
<a href="/index.php">index.php</a>

更新：

当以这种方式测试时，Referrer-Policy头对我来说是正确的。

我想将referer设置为www.domain.com on whatismyrefer.com

在这种情况下，您不能简单地使用3xx HTTP重定向(没有初始引用程序)，因为3xx重定向本身不会生成引用程序(如上所述)。如果3xx重定向生成了一个Referer，那么由于规范重定向等原因，站点将一直存在丢失引用的问题。

您将需要使用元刷新(如您建议的那样)或可能使用JavaScript“重定向”(未经测试)。或者，如果您的意图只是“伪造”Referer --尽管这不会直接导致重定向，您也可以使用CURL。