本文探讨了在 sinatra 应用中尝试获取完整引荐来源 url 时遇到的常见问题，即 `request.referrer` 仅返回协议和域名。核心原因在于现代浏览器默认采用更严格的引荐来源策略（如 `strict-origin-when-cross-origin`），这导致跨域请求时引荐来源 url 被截断。文章将详细解释这一机制，并通过示例代码展示问题，并提供理解和应对策略。

在构建 Web 应用程序时，有时我们需要了解用户是从哪个完整的 URL 跳转或引用到当前页面的。特别是在提供 J*aScript 代码给外部网站调用时，获取调用方网站的完整 URL 对于分析、日志记录或根据来源调整响应内容至关重要。然而，开发者在使用 Sinatra 框架的 request.referrer 或 request.env["HTTP_REFERER"] 属性时，可能会发现它们仅返回了引荐来源的协议和域名，而非完整的路径信息，这与预期行为不符。

问题场景复现

假设我们有一个 Sinatra 应用，其目标是识别调用其提供的 J*aScript 代码的远程网站的完整 URL。以下是一个简化的 Sinatra 应用示例，用于调试并打印出请求相关的环境变量：

require 'sinatra'

get %r{/test} do
    debug = {
        :referrer => request.referrer,
        :http_referer => request.env["HTTP_REFERER"],
        :path_info => request.path_info,
        :query_string => request.query_string,
        :host => request.host,
        :url => request.url,
        :path => request.path
    }
    STDERR.puts debug.inspect
    erb "test" # 假设存在一个 test.erb 模板
end

如果这个 Sinatra 应用部署在 http://www.server.com，并且有一个远程网站 http://www.remote.com/url-with-test-code.html 包含如下 HTML 代码，通过 <script> 标签引用了我们的 J*aScript 服务：</script>

<html>
<body>
<script src="http://www.server.com/test"></script>
</body>
</html>

当 http://www.remote.com/url-with-test-code.html 页面加载并请求 http://www.server.com/test 时，我们期望在 Sinatra 应用的日志中看到 :referrer 键的值为 http://www.remote.com/url-with-test-code.html。然而，实际输出可能如下：

{:referrer=>"https://www.remote.com/", :http_referer=>"https://www.remote.com/", :path_info=>"/test", :query_string=>"", :host=>"www.server.com", :url=>"https://www.server.com/test", :path=>"/test"}

从上述输出可以看出，request.referrer 和 request.env["HTTP_REFERER"] 都被截断为仅包含协议和域名 (https://www.remote.com/)，而丢失了具体的路径信息 (url-with-test-code.html)。

根源分析：浏览器引荐来源策略

这种现象并非 Sinatra 或 Ruby 的问题，而是现代浏览器为了增强用户隐私和安全性而实施的引荐来源（Referrer）策略所致。许多浏览器已经将默认的引荐来源策略从旧的 no-referrer-when-downgrade 更改为更严格的 strict-origin-when-cross-origin。

• no-referrer-when-downgrade (旧默认值): 在协议降级（例如 HTTPS 到 HTTP）时，不发送 Referer 头部。其他情况下，会发送完整的 URL。
• strict-origin-when-cross-origin (新默认值):
  • 在同源请求中，发送完整的 URL 作为 Referer。
  • 在跨源请求中，仅发送源（协议、主机和端口）作为 Referer。这意味着路径和查询参数等信息会被移除。
  • 在协议降级时，不发送 Referer。

当 http://www.remote.com 请求 http://www.server.com 上的资源时，这是一个典型的跨源请求。根据 strict-origin-when-cross-origin 策略，浏览器只会发送 http://www.remote.com/ 作为引荐来源，从而导致服务器端获取到的 Referer URL 被截断。在某些更严格的策略下（如 no-referrer），甚至可能完全不发送 Referer 头部。

应对策略与注意事项

由于这是浏览器级别的安全和隐私特性，服务器端无法强制浏览器发送完整的跨域 Referer URL。因此，我们不能直接依赖 request.referrer 来获取完整的远程网站路径。

小爱开放平台

小米旗下小爱开放平台

291 查看详情

1. 理解与适应： 接受这一事实是关键。如果您的应用逻辑需要完整的来源 URL，并且该来源是跨域的，那么您可能需要重新评估您的设计或寻找替代方案。

2. 客户端协作（如果可能）： 如果您对远程网站的 HTML 内容有控制权，或者可以与远程网站的开发者协作，可以考虑通过客户端 J*aScript 将完整的 window.location.href 作为查询参数传递给您的脚本。例如：

   <script>
       var remoteUrl = encodeURIComponent(window.location.href);
       var script = document.createElement('script');
       script.src = "http://www.server.com/test?referrer_url=" + remoteUrl;
       document.body.appendChild(script);
   </script>

   在 Sinatra 应用中，您就可以通过 request.params["referrer_url"] 获取到这个值。但这需要远程网站的主动配合。

3. 仅依赖来源信息： 如果您的需求只是识别请求的来源域名，那么当前 request.referrer 返回的截断信息已经足够。例如，判断请求是否来自白名单域名，或者进行基于域名的统计。

4. 服务器端日志分析： 某些情况下，如果您有能力访问请求发起方的服务器日志（例如通过 CDN 或其他代理），这些日志可能包含更详细的请求信息，但这超出了直接通过 request.referrer 获取的范畴。

总结

在 Sinatra 或任何其他 Web 框架中，当处理跨域请求时，期望通过 request.referrer 获取完整的引荐来源 URL 是不现实的。这是由现代浏览器默认的更严格的引荐来源策略 (strict-origin-when-cross-origin) 决定的，旨在保护用户隐私。开发者应理解这一机制，并根据实际需求调整应用程序的设计，例如通过客户端主动传递信息或仅依赖可用的来源域名信息。直接从服务器端获取完整的跨域引荐来源 URL 几乎是不可能的任务。

以上就是Sinatra 应用中获取完整引荐来源 URL 的挑战与策略的详细内容，更多请关注其它相关文章！

# 客户端  # 企业网站seo优化怎么做  # 汽车营销推广怎么做  # 开鲁县关键词seo排名优化  # 徐州市网站推广方案设计  # 永顺网站推广  # 集团网站建设哪家优惠  # 潜江正规网站建设哪家好  # 怎么鉴别seo水平  # 基金推广营销案例范文  # 荆州谷歌seo价格查询  # 有一个  # 应用程序  # 有什么不同  # 可选  # 但这  # javascript  # 这是  # 小爱  # 这一  # 您的  # 常见问题  # 跨域  # cdn  # win  # 环境变量  # 端口  # app  # 浏览器  # html  # java 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： J*aScript中向JSON对象添加新属性的正确姿势  MongoDB Aggregation：在嵌套对象数组中精确匹配ObjectId  Selenium Python中处理点击后新窗口加载冻结问题的策略与实践  想当下一个《2077》？《心之眼》Steam评价升至"多半好评"  Yandex官方入口网址 Yandex俄罗斯搜索引擎最新在线地址  铁路12306改签能改到更早的车次吗_铁路12306改签提前车次规则  响应式容器内容自动缩放与宽高比维持教程  Win11怎么安装Linux子系统 Win11 WSL2安装Ubuntu及环境配置指南  《铁拳8》黑皮辣妹新实机：元气满满的18岁少女！  《明末：渊虚之羽》设计师谈设计角色：那会刚毕业 充满激情  PyTorch模型训练准确率不提升：诊断与修复常见指标计算错误  优化Log4j2控制台输出性能：解决异步日志瓶颈  Safari自带网页翻译功能怎么用 无需插件轻松看懂外文网站【方法】  Win10如何开启蓝牙功能_Windows10找不到蓝牙开关解决方法  新三国志曹操传110级星符试炼夏侯渊极难攻略  J*aScript中赋值与自增运算符的复杂交互与执行机制  c++中为什么推荐使用using替代typedef_c++现代化类型别名  Lar*el 8 多关键词数据库搜索优化实践  wps文字怎么插入目录并自动更新_wps文字如何插入目录并自动更新方法  Yandex搜索引擎一键访问入口_俄罗斯Yandex官网免登录  《刺客信条4：黑旗》重制版新细节曝光：无缝加载 地图更细致！  高德地图沿途添加点失败如何解决 高德多点规划方法  Lar*el Form Request中唯一性验证在更新操作中的正确实现  J*aScript井字棋（Tic-Tac-Toe）核心交互逻辑实现教程  QQ邮箱正确登录入口_QQ邮箱官方网站使用地址  CSS子选择器：如何区分并样式化嵌套列表的子层级  蛙漫2台版漫画地址 Manwa2正版网页版链接  zookeeper 都有哪些功能？  将JSON对象数组转置为键值对列表的实用指南  包子漫画官方网站阅读入口-包子漫画在线漫画官网直达链接  AO3官方在线访问地址 Archive of Our Own最新镜像合集  J*aScript对象创建方式_J*aScript设计模式应用  解决 Vaadin 8 中大文件音频播放与定位时出现的 IOException  如何在Promise链中优雅地中断后续then执行  HTML元素状态管理：根据DIV内容动态启用/禁用按钮  J*a 递归快速排序中静态变量的状态管理与陷阱  蛙漫移动版在线看 蛙漫手机浏览器直达入口  微信聊天记录怎么加密_微信聊天记录加密方法  LocoySpider如何部署到云服务器_LocoySpider云部署的远程配置  在J*a中如何开发在线活动报名与管理系统_活动报名管理项目实战解析  J*a TimerTask文件监控：HashMap状态管理与常见陷阱规避指南  VS Code远程开发时如何处理文件权限问题  小米14应用无法联网原因分析_小米14网络权限修复  NVIDIA股价11月重挫12%：下月有望好转 但难回5万亿美元巅峰  QQ邮箱登录官网首页 腾讯QQ邮箱网页入口  HTML空白字符处理机制：渲染、DOM与编码实践  outlook中文官网入口地址 outlook官方中文版直达首页链接  Composer如何处理Git子模块（submodule）依赖_Composer与Git Submodule的对比与选择  163邮箱登录密码 163邮箱忘记密码找回  顺丰国际快递查询 国际件官方查询入口