解决百度统计无法获取https来源的referrer

文章目录

1 Referrer Policies
2 如何设置
3 解决百度统计无法获取https页的referrer

　　我们都知道，当我们的页面请求一个js文件、一个cs文件或者点击到其他页面，浏览器一般都会给这些请求头加上表示来源的 Referrer 字段。Referrer 在分析用户的来源时非常有用，比如大家熟悉的百度统计里面就利用到 Referrer 信息了。但是遗憾的是，目前百度统计仅仅支持来源于http页面的referrer头信息；也就是说，如果你网站是http的，那么百度统计只能统计到从其他http页面进入到你网站的referrer，而如果是从https页面进入到你的网站，百度统计目前是无法统计到。

　　在介绍解决办法之前，我们先来了解Referrer Policies。

Referrer Policies

如果想及时了解Spark、Hadoop或者Hbase相关的文章，欢迎关注微信公共帐号：iteblog_hadoop

　　目前存在九种Referrer Policies，包括：空字符串、 no-referrer , no-referrer-when-downgrade , same-origin , origin , strict-origin , origin-when-cross-origin , strict-origin-when-cross-origin 以及 unsafe-url：

enum ReferrerPolicy {
  "",
  "no-referrer",
  "no-referrer-when-downgrade",
  "same-origin",
  "origin",
  "strict-origin",
  "origin-when-cross-origin",
  "strict-origin-when-cross-origin",
  "unsafe-url"
};

我们这对每种Referrer Policies进行介绍。

空字符串

　　空字符串表示没有referrer策略。比如我们有一个HTML标签元素，而且并没有声明任何的Referrer Policies，这时候的Referrer Policies就是空字符串。默认的空字符串Referrer Policies就等同于no-referrer-when-downgrade。

no-referrer

　　最简单的Referrer Policies就是 no-referrer ；这种Referrer Policies会导致所有的请求都不带referrer信息。比如如果 https://www.iteblog.com/archives/1929 页面将Referrer Policies设置成 no-referrer ，那么从这个页面转到 https://www.iteblog.com/（或者其他任何页面）都不会发送Referer头信息。

no-referrer-when-downgrade

　　这种策略在从受TLS保护的URL跳转到任何潜在可信的URL以及从不受TLS保护的URL（比如HTTP）跳转到任何URL都会发送完整的URL Referrer 信息。

　　但是如果从受TLS保护的URL（比如HTTPS）跳转不受信任的URL（比如HTTP），那么Referrer 头将不会带任何的信息。这是大多数浏览器默认的Referrer Policies。

　　比如：假设 https://www.iteblog.com/archives/1929 页面的Referrer Policies设置成 no-referrer-when-downgrade ，那么从这个页面跳转到任何的 https 页面将会带上值为https://www.iteblog.com/archives/1929 的Referer头信息；但是如果从那个页面跳转到任何 HTTP 页面，将不会带上任何的Referer头信息。这就是为什么百度统计无法获取到从 HTTPS 跳转到 HTTP 的信息。

same-origin

　　对于同源的链接，会发送referrer，其他的不会。同源意味着域名需要相同，iteblog.com 和 idea.iteblog.com 是非同源的。

origin

　　这种Referrer Policies对于任何资源（包括可信和不可信）来说只发送网站的根域名，不发送完整的url。比如：https://www.iteblog.com/archives/1929 页面的Referrer Policies设置成 origin，那么从这个页面跳转到任何网站将会带上值为https://www.iteblog.com/ 的Referer头信息。

strict-origin

　　我们可以把他看做是 origin 和 no-referrer-when-downgrade 的结合体。也就是说，如果从受TLS保护的URL跳转到任何潜在可信的URL以及从不受TLS保护的URL（比如HTTP）跳转到任何URL都会发送根域名的 Referrer 头信息。

　　但是如果从受TLS保护的URL（比如HTTPS）跳转不受信任的URL（比如HTTP），那么Referrer 头将不会带任何的信息。比如https://www.iteblog.com/archives/1929 页面的Referrer Policies设置成 strict-origin ，那么从它跳转到 https://xxx.iteblog.com 将会带上值为https://www.iteblog.com/的Referer头信息；如果从那个页面跳转到 http://idea.iteblog.com 将不会带上任何的Referer头信息。

　　再比如：http://idea.iteblog.com页面的Referrer Policies设置成 strict-origin，那么从这个页面跳转到 http://books.iteblog.com 或者 https://www.iteblog.com/archives/1929 将会带上值为http://idea.iteblog.com/的Referer头信息。

　　不过目前这种Referrer Policies浏览器可能不支持。

origin-when-cross-origin

　　该策略在同源的链接中发送完整的URL，其他情况仅发送根域名。需要注意的是 https://www.iteblog.com 和被认为是非同源的。

　　比如 https://www.iteblog.com/archives/1929 页面的Referrer Policies设置成 origin-when-cross-origin ，那么从它跳转到 https://www.iteblog.com/archives/1464 将会带上值为https://www.iteblog.com/archives/1929的Referer头信息；如果从那个页面跳转到 http://idea.iteblog.com/ 页面（注意这里HTTP和HTTPS页面都可以），将会带上值为https://www.iteblog.com/的Referer头信息。

　　不过这种Referrer Policies在Chrome实现的时候被误写成了 origin-when-crossorigin 。

strict-origin-when-cross-origin

　　这种策略可以看做是 origin-when-cross-origin 和 no-referrer-when-downgrade 的结合体。对于同源请求，发送完整的URL；对于同为https的页面，或者是从HTTP页面跳转到任何的页面（包括HTTP和HTTPS）只发送根域名；如果是从https页面跳转到http将不发送referrer。

If a document at https://example.com/page.html sets a policy of "strict-origin-when-cross-origin", then navigations to https://example.com/not-page.html would send a Referer header with a value of https://example.com/page.html.
Navigations from that same page to https://not.example.com/ would send a Referer header with a value of https://example.com/.
Navigations from that same page to http://not.example.com/ would send no Referer header.

unsafe-url

　　无论是否发生协议降级（HTTPS到HTTP），无论是本站链接还是站外链接，统统都发送 Referrer 信息。这是最宽松而最不安全的策略；
比如：https://www.iteblog.com/archives/1929 页面的Referrer Policies设置成 unsafe-url ，那么从它跳转到http://idea.iteblog.com/ 页面（注意这里HTTP和HTTPS页面都可以），将会带上值为https://www.iteblog.com/archives/1929的Referer头信息。

如何设置

页面是设置Referrer Policies主要有以下几种

CSP 响应头

　　CSP（Content Security Policy），是一个跟页面内容安全有关的规范。在 HTTP 中通过响应头中的 Content-Security-Policy 字段来告诉浏览器当前页面要使用何种 CSP 策略。：

Content-Security-Policy: referrer

我们还可以在里面设置：

<meta http-equiv="Content-Security-Policy" content="referrer">

<meta> 标签

　　通过标签也可以指定 Referrer 策略，同样很简单：

<meta name="referrer" content="no-referrer">

我们把<meta> 放在 <head> ...</head> 之间。注意，如果出现的位置不对会被忽略。同样，如果没有给它定义 content 属性，或者 content 属性为空，也会被忽略。如果 content 属性不是合法的取值，浏览器会自动选择 no-referrer 这种最严格的策略。

<a> 标签的 referrer 属性

通过给 <a> 标签增加 referrer 属性也可以指定 Referrer 策略，格式如下：

<a href="https://www.iteblog.com" referrer="no-referrer">过往记忆</a>

　　这种方式作用的只是这一个链接。并且，<a> 标签可用的 Referrer 策略只有三种：no-referrer、origin 以及 unsafe-url 。另外，这样针对单个链接设置的策略优先级比 CSP 和要高。

解决百度统计无法获取https页的referrer

　　说到这里，如果我们想让百度统计能够统计到来源HTTPS的页面，我们有两种方式：（1）、将自己的网站也升级到HTTPS（参考《在Nginx中使用Let's Encrypt免费证书配置HTTPS》）；（2）、让对方网站设置相关的Referrer Policies。

本博客文章除特别声明，全部都是原创！
原创文章版权归过往记忆大数据（过往记忆）所有，未经许可不得转载。
本文链接: 【解决百度统计无法获取https来源的referrer】（https://www.iteblog.com/archives/1929.html）