禁止浏览器发送 HTTP_REFERRER header 保护私密网站 URL

January 16th, 2010

今天看到 Twitter 上有人讨论浏览器发送 HTTP_REFERRER header 导致民间 Twitter Web 客户端地址被泄露的问题。研究了一下，这个问题的最终解决都需要依靠浏览器，网站自己没有办法强制禁止浏览器发送 HTTP_REFERRER header。

Chrome/Chromium

Chrome/Chromium 的 WebKit 内核最新版支持 HTML5 里的 noreferrer link relation。这个功能允许网页作者在 a 和 area 元素里简单地使用值为 noreferrer 的 rel 属性来禁止浏览器向链接目标发送 HTTP_REFERRER header。例如：

<a href="http://evil.com" rel="noreferrer">Evil</a>

当用户点击这个链接访问 evil.com 时，对方只会收到一个空白的 HTTP_REFERRER header。在 Windows 版的 Chrome 4.0.295.0 dev 上测试通过。

Firefox

Firefox 的扩展 Adaptive Referer Remover 可以禁止指定的 URL 出现在 HTTP_REFERRER header 里。它使用正则表达式来匹配要保护的 URL。普通的 URL 转换成它需要的正则表达式很简单，只需要在前面加 ^ 并把 . 改成 . 即可。例如：

^http://rainux.org
^http://search\.twitter\.com

另一个更简单但比较极端的做法是在 about:config 里将 network.http.sendRefererHeader 设置为 0，这样会完全禁止 Firefox 向任何网站发送 HTTP_REFERRER header。

Opera

Tools-> Preferences-> Advanced-> Network-> Send referrer information 去掉勾选。（感谢 vvoody 补充）

Internet Explorer

别开玩笑了，IE 的漏洞都导致 Google 重要服务被攻破而被迫退出中国了，你还敢用它？

标签：Twitter

3 Responses to “禁止浏览器发送 HTTP_REFERRER header 保护私密网站 URL”

vvoody Says:
January 16th, 2010 at 23:59
嘿嘿，我来补充Opera的： Tools-> Preferences-> Advanced-> Network-> Send referrer information 去掉勾选
kangzj Says:
January 18th, 2010 at 14:55
这样有的图片怕是看不了了，一些网站的防盗链就是这么做的
Rainux Says:
January 18th, 2010 at 16:14
@kangzj Chromium 是由网页作者指定，Firefox 的扩展是用户自己选择，都不会一刀切的。

What I'm Doing...

也只有她能唱这样的歌了。RT @Greendamn: @rainux 梁静茹？貌似呢 2010-06-21
“希望我爱的人健康个性很善良，大大手掌能包容我小小的倔强。你的浪漫只有我懂欣赏，能让眼泪长出翅膀飞离我脸庞。还想每天用咖啡香不让你赖床，周末傍晚踩着单车逛黄昏市场。我的浪漫只有你懂欣赏，就让每个台风晚上不恐慌紧张。”这歌词听得人想哭。 2010-06-21
所以说这显然不需要被同情啊。RT @Thruth: @rainux 同情你。出绿泥而不染。 2010-06-21
“你从来都没有约过我。”Aaron 看着我对我说。<del>“你都已经结婚了……”</del>“只是觉得你们都有自己的爱人自己的家庭，不想要打扰你到们而已。”所以宁可整个周末都自己宅在家里看动画玩游戏。因为觉得，在我自己有爱人的时候，也不想要被别人打扰。 2010-06-21
绿鸟发来贺电 RT @virushuo: 红鸟，你好 RT @Thruth: 马的！推特！我旧头像删了，新头像一上传就鲸鱼。你是专门干我来了么？ 2010-06-21
More updates...

Rainux's Journal