首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

跨站点document.referrer在chrome更新后不工作

跨站点document.referrer在Chrome更新后不工作是因为Chrome浏览器在安全性方面进行了更新,以保护用户的隐私和安全。在过去,跨站点document.referrer属性可以被用来获取用户从哪个网站链接到当前页面,但这也可能导致隐私泄露和安全问题。

为了解决这个问题,Chrome浏览器在更新后对跨站点document.referrer属性进行了限制。现在,当用户从一个网站跳转到另一个网站时,跨站点document.referrer属性将只返回一个空字符串,而不是之前的URL。

这个更新主要是为了保护用户的隐私,防止恶意网站通过获取跨站点document.referrer属性来追踪用户的浏览行为。然而,这也给一些合法的使用场景带来了一些困扰,比如一些网站可能需要根据跳转来源来进行一些特定的操作。

在这种情况下,可以考虑使用其他方法来获取跳转来源的信息。一种常见的方法是使用URL参数来传递信息,比如在链接中添加一个特定的参数来标识跳转来源。另外,也可以通过服务器端来获取跳转来源的信息,比如通过HTTP请求头中的Referer字段来获取。

总结起来,跨站点document.referrer在Chrome更新后不再工作,这是为了保护用户隐私和安全。可以通过其他方法来获取跳转来源的信息,比如使用URL参数或服务器端获取HTTP请求头中的Referer字段。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

标签 rel 属性详解

SEO 的作用 调整网页链接的权重,集中站点权重 添加 nofollow ,爬虫不会追踪有此标记的链接。并且,不会传递当前站点的权重到新的链接,避免被分散。...反垃圾链接 网站通常有留言功能,一些人会利用这个功能,评论的时候,留下自己站点的链接。加上 nofollow 进行屏蔽,可以防止当前站点的权重流失。...robots 主要用于屏蔽动态链接,让搜索引擎爬取动态链接的内容。 nofollow 让搜索引擎不要跟踪标记了该属性的链接,使其传递权重。...referrer="+document.referrer; } 复制代码 链接加上 rel="noopener" ,则新页面被限制访问 window.opener。...同时,新页面无法获取 document.referrer 信息,该信息包含了来源页面的地址。

2.1K30
  • 两个你必须要重视的 Chrome 80 策略更新!!!

    Chrome 80 版本 2020年2月份 正式发布了,随后又陆续更新了几个小版本,本次升级主要是更新了安全修复和稳定性改进以及用户体验优化。...SameSite 可以避免站请求发送 Cookie,有以下三个属性: Strict Strict 是最严格的防护,将阻止浏览器在所有站点浏览上下文中将 Cookie 发送到目标站点,即使遵循常规链接时也是如此...None 浏览器会在同站请求、站请求下继续发送 Cookies,区分大小写。...策略更新 旧版浏览器,如果 SameSite 属性没有设置,或者没有得到运行浏览器的支持,那么它的行为等同于 None,Cookies 会被包含在任何请求中——包括站请求。...以上更新可能对以下功能造成影响: 域名登陆失效 jsonp 获取数据失效 iframe 嵌套的页面打不开或异常 部分客户端未改造导致各种数据获取异常 建议大家针对上述更新对自己的站点功能在新版浏览器下做一些测试

    4.1K40

    Xss和Csrf介绍

    Xss攻击的分类 反射型Xss攻击 存贮型Xss攻击 DOMBasedXSS 反射型Xss攻击 又称为非持久性站点脚本攻击,它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。...举个栗子: 一个简单的留言板功能,表单提交域如下, 攻击者value填写 alert...DOMBasedXSS(基于Dom的站点脚本攻击) 当用户能够通过交互修改浏览器页面中的DOM(DocumentObjectModel)并显示浏览器上时,就有可能产生这种漏洞,从效果上来说它也是反射型...前提是易受攻击的网站有一个HTML页面采用不安全的方式从document.location或document.URL或document.referrer获取数据(或者任何其他攻击者可以修改的对象),所以应该避免直接从...document.location或document.URL或document.referrer获取数据。

    97490

    原型链上的DOM Attributes

    这可以让Chrome与Web IDL标准以及其他浏览器(IE和Firfox)保持一致。注:旧的基于Webkit的浏览器与标准兼容但是safari已经与标准兼容了。...这项更新有很多好处: 因为遵循了规范,所以浏览器的兼容性更好(IE和Firefox早就与规范保持一致了) 让开发者一致且高效地创建DOM对象上的getter/setter 提高DOM编程的灵活性。...这些更新对Web平台的一致性、性能和规范化都很重要。当然这也会带来一些兼容的问题。如果你以前依赖过Chrome或Webkit的这个特性,强烈建议检查下自己的站点并阅读下面的更新总结。...Chrome 42及以前的版本下,如下代码可以正常工作: > JSON.stringify(subscription); { "endpoint": "https://something",...那么那个站点的开发者可以做如下事情: Chrome的issur tracker上提交一个关于受影响站点的issue 为Webkit提交一个issue:https://bugs.webkit.org/show_bug.cgi

    74230

    网站被攻击被跳转到了博彩网的木马清理过程记录

    访问站点只要后面目录带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转到博彩网站,如果是电脑PC浏览器,就会弹空白页访问站点,让你看不到跳转的网址,只要域名后面地址带apk...网站在百度里的收录增加许多,本来以为是更新的文章导致的,可是仔细一想也没那么多的收录呀,site:网站,点击到十页以后竟然发现了问题的关键,百度收录了一大堆我们网站没有的URL链接,复制那个我们域名的链接...赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然每个网站根目录里的conn.php发现了黑客插入的恶意代码: functiongo_bots_url...去除掉恶意代码,网站从百度搜索点击进来的也正常显示了,真是太无耻了,服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到,怪不得我找了大半天都没找到问题根源...接下来的工作就是抓紧修复网站漏洞,以及对服务器上的所有站点进行排查和漏洞修复,防止被再次攻击跳转,如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。

    86020

    学习 HTTP Referer

    平常你一定会遇到一些问题需要去排查,假如这个问题在你排查完全部代码,依然没有解决,这个时候你会怎么办?此时我们就需要将排查问题的角度转换一下,切换到 HTTP 协议上。...General Headers: // javascript document.referrer // DOM <a target="_blank" href="https://edu.zcygov.cn...<em>工作</em>中实际使用的场景: <em>在</em>双品牌“乐彩云”推广中为降低双域名跳转改造成本,运维层面<em>在</em> Nginx 添加了一个规则,若访问链接(例如 news.zcygov.cn)的 Referer 包含 lecaiyun.com...HTTPS 网址时 从 HTTP 请求到 HTTP 网址时 同源请求 浏览器默认的策略 浏览器 默认的策略 <em>Chrome</em> <em>Chrome</em> 85 版本默认策略变更为:strict-origin-when-cross-origin...原策略:no-referrer-when-downgrade详细可查看:https://developer.<em>chrome</em>.com/blog/referrer-policy-new-<em>chrome</em>-default

    1.6K30

    (转) 网站统计中的数据收集原理及实现

    而后用户页面中的行为均无法收集。...注意ga.async = true的意思是异步调用外部js文件,即阻塞浏览器的解析,待外部js下载完成异步执行。这个属性是HTML5新引入的。...这里唯一的问题是步骤4,javascript请求后端脚本常用的方法是ajax,但是ajax是不能域请求的。...注意,如果没有站跟踪同一用户的需求,可以通过js将cookie种植在被统计站点的域下(GA是这么做的),如果要全网统一定位,则通过后端脚本种植服务端域下(我们待会的实现会这么做)。...当然这里有一点小问题,因为我并没有https的服务器,所以如果一个https站点部署了代码会有问题,不过这里我们先忽略吧。

    2K30

    网站被跳转到恶意博彩网的木马查杀过程

    访问站点只要后面目录带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转到博彩网站,如果是电脑PC浏览器,就会弹空白页访问站点,让你看不到跳转的网址,只要域名后面地址带apk...网站在百度里的收录增加许多,本来以为是更新的文章导致的,可是仔细一想也没那么多的收录呀,site:网站,点击到十页以后竟然发现了问题的关键,百度收录了一大堆我们网站没有的URL链接,复制那个我们域名的链接...赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然每个网站根目录里的conn.php发现了黑客插入的恶意代码: functiongo_bots_url...=-1){init_flag="apk"; 去除掉恶意代码,网站从百度搜索点击进来的也正常显示了,真是太无耻了,服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到...接下来的工作就是抓紧修复网站漏洞,以及对服务器上的所有站点进行排查和漏洞修复,防止被再次攻击跳转,如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。

    1.2K20

    三方 Cookie 替代品 — 隐私沙盒的最新进展

    意味着它可以定义站点上下文仍然是 first-party 的情况。 Cookie 可以包含在第一方集合中,也可以排除第三方上下文中。...站点搜索攻击:攻击者可以通过检查特定网站使用的“无搜索结果”图像是否浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...站点跟踪:缓存可用于存储类似 cookie 的标识符,作为站点跟踪机制。 为了减轻这些风险,ChromeChrome 86 开始对 HTTP 缓存进行分区。...具体可以参考我这篇文章: 新的浏览器缓存策略变更:舍弃性能、确保安全 广告内容展示 随着浏览器逐步淘汰第三方 cookie,广告业务下,我们需要在继续启用站点跟踪的情况下,使用新的 API 来替代它...详情可以看看这篇文章:https://developer.chrome.com/docs/privacy-sandbox/floc/ 数字广告的衡量方式 没有站点跟踪的情况下展示的广告,我们还是需要一些隐私保护机制来衡量这些广告的有效性

    77810

    浏览器测试的三大挑战及解决方案【译】

    尽管如此,浏览器测试还是被忽视了,因为开发人员浏览器测试纳入QA工作流程时面临许多挑战。...如果企业希望因用户体验不佳而失去客户,则必须考虑浏览器兼容性和浏览器测试。尽管目标听起来很简单,但需要QA团队必须解决许多障碍,以提高站点和 Web 应用程序的响应能力。...使用左移方法,可以将应用程序移至生产环境之前开始本地暂存环境中测试您的应用程序。这就必需我们进行浏览器测试,即使在生产中部署,还可以跟踪和修复BUG。...如果希望针对各种浏览器和浏览器版本自动执行浏览器测试,那么需要有出色的工具可以帮助完成工作。...但是,所有用户不会都使用的最新版本,而且随着时间往前走,更新的版本又会出现。 相反,可能需要确保客户旧操作系统和过时浏览器(如 IE 和旧版 Edge)上的体验。因此,手动测试所有组合是不可能的。

    38210

    Clickjacking简单介绍

    欺骗用户点击留在此页显示: ? 三、XSS filter的利用 IE8以上以及Chrome浏览器都有XSS筛选器,这些可以用来对付防御frame嵌套的代码。 防御代码如下: if(top!...如果跟的参数中有变量页面中显示的,会把变量过滤一遍再输出,但不会阻止跳转。 四、Referer检查的问题 有一些站点允许自己的域名嵌套自己,禁止外站对自己的嵌套。...,但是手机站点没有做任何防护,很容易造成点击劫持。...并且IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。...x-frame-options:DENY 应该就没什么问题了 另外 iframe里添加sandbox=可以禁止js,进而阻止掉js的防御方式 IE9下当设置restricted似乎不发送cookie

    1K00

    一篇文章带你揭 秘现代浏览器原理与方法_浏览器发送请求原理

    因此Chrome 67版本之后,桌面 版的Chrome会默认开启网站隔离功能,这样每一个站点的iframe都会拥有一个独立的渲染进程。 二、一个经典问题, 导航时都发生了什么?...所以,当你导航栏上输入一串内容的时候,Chrome到底为我们做了哪些工作? 1....这里chrome有个小优化 因为网络请求的耗时可能会很⻓, 所以第二步中当UI线程发送URL链接给网络进程,它其实已经知 晓它们要被导航到哪个站点了。...到了这个时候,导航栏会被更新,安全指示符和站点设置会展示新⻚面相关的站点信息。...本站仅提供信息存储空间服务,拥有所有权,承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

    44320

    XSS(Cross Site Scripting) 站脚本

    XSS(Cross Site Scripting)中文名站脚本攻击。攻击原理是攻击者将恶意代码植入到页面中,导致浏览该页面的用户即会中招!这次主要讲讲攻击方法。...2.储存型 通过表单等地方提交恶意构造代码,后端存入数据库,显示该数据的页面会触发XSS 简单的理解就是由于过滤不严导致能写入JS代码,获得JS代码控制权能做很多事情,常见危害如下: 盗取回话 控制用户操作...(CSRF) 发起DDOS攻击 篡改页面 等等 针对每一个攻击进行详细讲解: 盗取会话 服务器是以SESSION来识别用户,而SESSION客户端浏览器中是存在COOKIE里!...document.createElement("img"),referrer = null,browser = null,screensize = null,system = null referrer = document.referrer.../*var bro = $.browser if(/chrome/.test(navigator.userAgent.toLowerCase())){ browser = 'Chrome' + '

    49540

    什么是Web安全

    预防方法 1.5 命令行注入 1.6 DDos攻击 1.7 流量劫持 1.7.1 DNS劫持 1.7.2 HTTP劫持 1.8 关于 什么是Web安全 前言 Web安全主要有如下几大分类 XSS CSRF(站请求伪造...不需要诱骗点击,只要求攻击者提交表单的地方完成注入即可 解决方法 Web页面渲染所有内容或渲染的数据必须来源于服务器 不要从 URL,document.referrer,document.forms...不需要诱骗点击,只要求攻击者提交表单的地方完成注入即可 成功条件 POST请求提交表单没有经过转义直接入库 后端从数据库取出数据没有转义直接输出给前端 前端拿到后端数据没有经过转义直接渲染 解决方法...后端将数据输出给前段时统一进行转义 前端进行渲染时,将从后端请求过来的数据统一转义处理 基于字符集的XSS 简介 大部分浏览器都专门针对XSS进行转义处理,但也有很多方式可以绕过转义规则,比如web页面字符集固定...DNS劫持就是当用户通过某一个域名访问站点时,被篡改的DNS服务器返回的是一个钓鱼站点的IP,用户就被劫持到钓鱼网站,进而隐私泄露 HTTP劫持 HTTP劫持,当用户访问某个站点时会经过运营商网络,不法运营商和黑厂勾结能够截获请求返回内容

    74920

    XSS分析及预防

    XSS(Cross Site Scripting),又称站脚本,XSS的重点不在于站点,而是在于脚本的执行。...XSS的种类和特点 此处不详细讲解XSS的一些细节 XSS的目标是让其他站点的js文件运行在目标站点的上,这主要发生在页面渲染阶段。...另外的尝试 上文提到的仅仅是对应的XSS避免方案,但是如果将目光放置全局,站在浏览器的角度上,则会变的更为柳暗花明。现阶段,大多数浏览器都支持多种安全策略,如沙盒机制,域机制,文档消息和CSP。...webkit中的XSS组件 XSS攻击主要发生在页面的渲染时,当浏览器的渲染引擎获取到该页面并开始解析时,是可以该阶段进行安全校验的,具体的时间节点则是词法分析针对每个token做过滤。...webkit中,由HTMLDocumentParser解析得到token,使用XSSAuditor进行过滤,具体则是filterToken中执行,不仅仅是针对token的名称,其属性也是监测重点。

    1.2K70

    新的浏览器缓存策略变更:舍弃性能、确保安全

    Chrome 中,缓存机制以多种方式使用,HTTP 缓存就是一个示例。...Chrome 的 HTTP 缓存当前的工作方式 从 85 版开始,Chrome 会使用它们各自的资源URL作为缓存键来缓存从网络获取的资源。 下面我们来看几个示例: ?...站点搜索攻击:攻击者可以通过检查特定网站使用的“无搜索结果”图像是否浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...站点跟踪:缓存可用于存储类似 cookie 的标识符,作为站点跟踪机制。 为了减轻这些风险,Chrome 将从 Chrome 86 开始对 HTTP 缓存进行分区。...例如,许多站点上为大量可高度缓存的资源提供服务的站点(例如字体和流行的脚本)可能会看到其流量增加。同样,使用此类服务的人可能会越来越依赖于它们。

    1.1K21
    领券