Referenciador HTTP - HTTP referer
| HTTP |
|---|
| Métodos de solicitação |
| Campos de cabeçalho |
| Códigos de status de resposta |
| Métodos de controle de segurança de acesso |
| Vulnerabilidades de segurança |
Em HTTP , " Referer " (um erro ortográfico de Referrer ) é o nome de um campo de cabeçalho HTTP opcional que identifica o endereço da página da web (ou seja, o URI ou IRI ), que está vinculado ao recurso que está sendo solicitado. Ao verificar o referenciador, o servidor que fornece a nova página da web pode ver a origem da solicitação.
Na situação mais comum, isso significa que quando um usuário clica em um hiperlink em um navegador da web , fazendo com que o navegador envie uma solicitação ao servidor que mantém a página da web de destino, a solicitação pode incluir o campo Referer, que indica a última página a o usuário estava ligado (aquele em que clicou no link).
Os sites e servidores da web registram o conteúdo do campo Referer recebido para identificar a página da web a partir da qual o usuário seguiu um link, para fins promocionais ou estatísticos. Isso acarreta perda de privacidade para o usuário e pode representar um risco de segurança .
O comportamento padrão de vazamento do Referer coloca os sites em risco de violação de privacidade e segurança. Para mitigar os riscos de segurança, os navegadores vêm reduzindo constantemente a quantidade de informações enviadas no Referer. Em março de 2021, por padrão , Chrome , Edge baseado em Chromium , Firefox e Safari enviam por padrão apenas a origem em solicitações de origem cruzada.
Etimologia
O erro de ortografia de referrer foi introduzido na proposta original do cientista da computação Phillip Hallam-Baker para incorporar o campo de cabeçalho "Referer" na especificação HTTP . O erro ortográfico foi gravado na pedra na época (maio de 1996) de sua incorporação no documento de padrões de solicitação de comentários RFC 1945 (que 'reflete o uso comum do protocolo referido como "HTTP / 1.0"' naquela época); O co-autor do documento, Roy Fielding, observou em março de 1995 que "nenhum deles (referenciador ou referenciador) é compreendido" pelo corretor ortográfico Unix padrão do período. "Referer" desde então se tornou uma grafia amplamente usada na indústria ao discutir referenciadores HTTP; o uso de erros ortográficos não é universal, já que a grafia correta "referenciador" é usada em algumas especificações da web, como o Referrer-Policycabeçalho HTTP ou o Document Object Model .
Detalhes
Ao visitar uma página da web, o referenciador ou página de referência é o URL da página da web anterior a partir da qual um link foi seguido.
De maneira mais geral, um referenciador é a URL de um item anterior que levou a essa solicitação. O referenciador de uma imagem, por exemplo, geralmente é a página HTML na qual ela deve ser exibida. O campo referrer é uma parte opcional da solicitação HTTP enviada pelo navegador da web ao servidor da web.
Muitos sites registram referências como parte de sua tentativa de rastrear seus usuários . A maioria dos softwares de análise de log da web pode processar essas informações. Como as informações de referência podem violar a privacidade , alguns navegadores da web permitem que o usuário desative o envio de informações de referência. Alguns softwares de proxy e firewall também filtram as informações de referência, para evitar vazar a localização de sites não públicos. Isso pode, por sua vez, causar problemas: alguns servidores web bloqueiam partes de seu site para navegadores que não enviam as informações de referência corretas, na tentativa de evitar links profundos ou uso não autorizado de imagens ( roubo de largura de banda ). Alguns softwares de proxy têm a capacidade de fornecer o endereço de nível superior do site de destino como referenciador, o que reduz esses problemas, mas ainda pode, em alguns casos, divulgar a última página da web visitada pelo usuário.
Muitos blogs publicam informações de referência para vincular as pessoas que estão vinculando a eles e, assim, ampliar a conversa. Isso levou, por sua vez, ao surgimento do spam de referenciador : o envio de informações de referenciador falsas para popularizar o site do spammer.
É possível acessar as informações do referenciador no lado do cliente usando document.referrer em JavaScript . Isso pode ser usado, por exemplo, para individualizar uma página da web com base na consulta do mecanismo de pesquisa de um usuário. No entanto, o campo referenciador nem sempre inclui palavras-chave de pesquisa, como ao usar a Pesquisa Google com https.
Ocultar referenciador
A maioria dos servidores da web mantém logs de todo o tráfego e registra o referenciador HTTP enviado pelo navegador da web para cada solicitação. Isso levanta uma série de questões de privacidade e, como resultado, vários sistemas para impedir que os servidores da web enviem o URL de referência real foram desenvolvidos. Esses sistemas funcionam apagando o campo de referência ou substituindo-o por dados imprecisos. Geralmente, os pacotes de segurança da Internet apagam os dados do referenciador, enquanto os servidores baseados na web os substituem por uma URL falsa, geralmente a sua própria. Isso levanta o problema do spam de referência. Os detalhes técnicos de ambos os métodos são bastante consistentes - os aplicativos de software agem como um servidor proxy e manipulam a solicitação HTTP, enquanto os métodos baseados na web carregam sites dentro de frames, fazendo com que o navegador da web envie uma URL de referência do endereço do site. Alguns navegadores da web oferecem a seus usuários a opção de desativar os campos de referência no cabeçalho da solicitação.
A maioria dos navegadores da web não envia o campo referenciador quando são instruídos a redirecionar usando o campo "Atualizar". Isso não inclui algumas versões do Opera e muitos navegadores da web para celular. No entanto, esse método de redirecionamento não é recomendado pelo World Wide Web Consortium (W3C).
Se um site for acessado de uma conexão HTTP Secure (HTTPS) e um link apontar para qualquer lugar, exceto outro local seguro, o campo referenciador não será enviado.
O padrão HTML5 adicionou suporte para o atributo / valor rel="noreferrer", o que instrui o agente do usuário a não enviar um referenciador.
Outro método de ocultação de referenciador é converter a URL do link original em uma URL baseada no esquema URI de Dados contendo uma pequena página HTML com uma atualização meta para a URL original. Quando o usuário é redirecionado da data:página, o referenciador original é oculto.
A versão 1.1 do padrão da Política de Segurança de Conteúdo introduziu uma nova diretiva de referência que permite mais controle sobre o comportamento do navegador em relação ao cabeçalho de referência. Especificamente, permite ao webmaster instruir o navegador a não bloquear o referenciador, revelá-lo apenas ao mover com a mesma origem etc.
Referências
links externos
- RFC 1945 : Protocolo de Transferência de Hipertexto - HTTP / 1.0
- RFC 7231 : Protocolo de Transferência de Hipertexto (HTTP / 1.1): Semântica e Conteúdo
- RFC 3987 : Identificadores de recursos internacionalizados (IRIs)
- Política de Referência - Rascunho do Editor W3C