背景

前端js中http跳轉(zhuǎn)https報(bào)403錯(cuò)誤

window.open('https://xxx.xxx.xxx.xxx:1443')

報(bào)錯(cuò)403錯(cuò)誤

但是在瀏覽器中直接輸入https地址卻是可以正常訪問的。

問題解決

將服務(wù)器上網(wǎng)頁內(nèi)http跳轉(zhuǎn)https的request header與瀏覽器直接訪問https地址的request header對比，發(fā)現(xiàn)多了一個(gè)referer。問題應(yīng)該就出現(xiàn)在這里，通過以下兩種方式，實(shí)現(xiàn)網(wǎng)頁內(nèi)跳轉(zhuǎn)不帶referer，成功解決問題。

1. window.open('JAVAscript:window.name;','<script>location.replace("https://xxx.xxx.xxx")</script>');
2. window.open('https://xxx.xxx.xxx','_blank','noopener,noreferrer,resizable')

思考

1.為什么會出現(xiàn)跳轉(zhuǎn)時(shí)攜帶referer？

我們在從一個(gè)網(wǎng)站A點(diǎn)擊鏈接進(jìn)入另一個(gè)網(wǎng)站B頁面時(shí)，瀏覽器會在header里加上Referer值，來標(biāo)識這次訪問的來源頁面。而B網(wǎng)站對Referer進(jìn)行了攔截導(dǎo)致。

提供三種解決方式

1、在A網(wǎng)站頁面頭部加入下面meta，所有跳轉(zhuǎn)便不會攜帶referer

<meta name="referrer" content="no-referrer" />

拓展：
same-origin：
對于同源的請求會發(fā)送引用地址，但是對于非同源請求則不發(fā)送引用地址信息。
比如，www.AAA.com/page1.html 跳轉(zhuǎn)到 www.AAA.com/page2.html 同源會攜帶 referrer，
www.AAA.com/page1.html 跳轉(zhuǎn)到 www.BBB.com/page2.html 不同源不會攜帶 referrer，

<meta name="referrer" content="same-origin" />

除了可以設(shè)置 no-referrer 和 same-origin 其他 referrer 的設(shè)置值可參考:
Referrer-Policy
W3c-Referrer Policy
Remove http referer

2、使用window.open來去除referrer
如果是新頁簽打開：

window.open('JavaScript:window.name;','<script>location.replace("'+你的跳轉(zhuǎn)url+'")</script>');

如果是新窗口打開：

window.open(你的跳轉(zhuǎn)url, '_blank', 'noopener,noreferrer,resizable')

3、使用iframe

document.body.AppendChild(document.createElement('iframe')).src='javascript:"<script>top.location.replace(''+你的

2. referer又是什么東西？

HTTP Referer 是 header 的一部分，當(dāng)瀏覽器向 web 服務(wù)器發(fā)送請求的時(shí)候，一般會帶上 Referer，用來表示從哪兒鏈接到當(dāng)前的網(wǎng)頁，服務(wù)器因此可以獲得一些信息用于處理，采用的格式是 URL。

HTTP Referer 是 header 的一部分，當(dāng)瀏覽器向 web 服務(wù)器發(fā)送請求的時(shí)候，一般會帶上 Referer，用來表示從哪兒鏈接到當(dāng)前的網(wǎng)頁，服務(wù)器因此可以獲得一些信息用于處理，采用的格式是 URL。

換句話說，借著 HTTP 來源地址，當(dāng)前的網(wǎng)頁可以檢查訪客從哪里而來，這也常被用來對付偽造的跨網(wǎng)站請求。 而 dereferer 則是將 HTTP 來源地址信息剝離，所以網(wǎng)站將無法識別訪客從何而來。

Referer 的正確英語拼法是 referrer。由于早期 HTTP 規(guī)范的拼寫錯(cuò)誤，為保持向下兼容就將錯(cuò)就錯(cuò)了。例如 DOM Level 2、Referrer Policy 等其他網(wǎng)絡(luò)技術(shù)的規(guī)范曾試圖修正此問題，使用正確拼法，導(dǎo)致當(dāng)前拼法并不統(tǒng)一。

概念與功能

當(dāng)訪客訪問網(wǎng)頁時(shí)，HTTP 來源地址 (referer 或 referring page) 是前一個(gè)網(wǎng)頁的 URL。如果是圖片的話，通常指的就是圖片所在的網(wǎng)頁。在網(wǎng)頁瀏覽器送往網(wǎng)頁服務(wù)器的時(shí)候，HTTP 來源地址就被包含在 HTTP 請求方法中。

網(wǎng)站會將引用地址記錄以便追蹤用戶的動態(tài)或進(jìn)行統(tǒng)計(jì)，大部分分析軟件也都會處理這個(gè)信息。但因引用地址信息可能會帶來隱私權(quán)問題，不少網(wǎng)頁瀏覽器允許用戶設(shè)置不要提交這個(gè)信息，有些代理服務(wù)器和防火墻也會將引用地址信息過濾掉，以避免外部獲知非公開的網(wǎng)絡(luò)地址。缺少引用地址信息有可能會造成某些使用問題：某些服務(wù)器會因?yàn)槿鄙僬_的引用地址信息而進(jìn)行阻擋，以避免未經(jīng)授權(quán)的圖片引用（圖像防盜鏈）或是其他對服務(wù)器有影響的行為。針對這樣的阻擋，有些軟件還提供了針對特定網(wǎng)站提交假來源地址的功能（反防盜鏈）。