在 sinatra 应用中，尝试获取跨域请求的完整引用 url 时，`request.referrer` 或 `request.env["http_referer"]` 常常只返回源站而非完整路径。这并非 sinatra 的问题，而是现代浏览器默认采用 `strict-origin-when-cross-origin` 等更严格的 referrer policy 所致，旨在增强用户隐私保护，导致跨域时 referer 信息被截断。

跨域引用 URL 获取的困境

在开发 Web 应用时，尤其当应用提供 J*aScript 代码供外部网站引用时，我们经常需要获取调用方（即引用方）的完整 URL。例如，一个 Sinatra 应用托管了一个 J*aScript 资源，被 http://www.remote.com/url-with-test-code.html 页面通过 引用。开发者可能期望在 Sinatra 后端通过 request.referrer 或 request.env["HTTP_REFERER"] 获取到完整的引用页面 URL，即 http://www.remote.com/url-with-test-code.html。

然而，实际观测到的结果往往是 referrer 键仅包含引用页面的协议和域名，例如 https://www.remote.com/，而缺少了具体的路径信息。以下是一个简单的 Sinatra 测试代码示例，用于演示此现象：

require 'sinatra'

get %r{/test} do
    debug = {
        :referrer => request.referrer,
        :http_referer => request.env["HTTP_REFERER"],
        :path_info => request.path_info,
        :query_string => request.query_string,
        :host => request.host,
        :url => request.url,
        :path => request.path
    }
    STDERR.puts debug.inspect
    erb "test"
end

当 http://www.server.com/test 被 http://www.remote.com/url-with-test-code.html 引用时，服务器端日志可能会显示类似以下内容：

{:referrer=>"https://www.remote.com/", :http_referer=>"https://www.remote.com/", :path_info=>"/test", :query_string=>"", :host=>"www.server.com", :url=>"https://www.server.com/test", :path=>"/test"}

这表明 referrer 字段被截断，未能提供完整的引用路径。

浏览器 Referrer Policy 详解

导致上述现象的根本原因在于现代浏览器的 Referrer Policy（引用者策略）。为了增强用户隐私保护，许多浏览器已经将默认的 Referrer Policy 从旧的 no-referrer-when-downgrade 更改为更严格的 strict-origin-when-cross-origin。

小爱开放平台

小米旗下小爱开放平台

291 查看详情

理解这些策略至关重要：

• no-referrer-when-downgrade (旧默认):
  • 当协议安全等级保持不变（HTTP 到 HTTP，HTTPS 到 HTTPS）或从 HTTPS 降级到 HTTP 时，发送完整的 URL 作为 Referer。
  • 当从 HTTPS 降级到 HTTP 时，Referer 不会被发送。
  • 在跨域请求中，通常会发送完整的 URL。
• strict-origin-when-cross-origin (新默认):
  • 当同源请求时，发送完整的 URL。
  • 当进行跨域请求时，Referer 头部只包含源站（协议、域名和端口），不包含路径和查询参数。
  • 当协议安全等级从 HTTPS 降级到 HTTP 时，Referer 不会被发送。

这意味着，当您的 Sinatra 应用（http://www.server.com）被另一个域名（http://www.remote.com）的页面引用时，由于这是一个跨域请求，并且现代浏览器默认遵循 strict-origin-when-cross-origin 策略，Referer 头部会被浏览器自动截断，只发送源站信息。

此外，还有其他 Referrer Policy 选项，例如：

• no-referrer: 任何情况下都不发送 Referer 头部。
• same-origin: 仅在同源请求中发送 Referer 头部，跨域请求不发送。
• origin: 无论同源还是跨域，Referer 头部都只包含源站。
• unsafe-url: 总是发送完整的 URL，即使是从 HTTPS 降级到 HTTP，这被认为是不安全的。

注意事项与总结

1. 浏览器行为，非 Sinatra 限制: request.referrer 获取到的值直接来源于 HTTP 请求头中的 Referer 字段，而这个字段的内容是由发起请求的浏览器根据其 Referrer Policy 决定的。因此，这不是 Sinatra 框架的限制，而是浏览器为了用户隐私和安全而实施的策略。
2. 无法强制获取: 作为服务器端，您无法强制浏览器发送完整的 Referer URL，因为这是客户端（浏览器）的安全策略。
3. 影响: 这种截断会影响依赖完整 Referer URL 进行统计、日志记录或个性化内容生成的功能。例如，如果您的 J*aScript 代码需要根据调用它的具体页面路径来调整行为，仅依靠 request.referrer 将无法实现。
4. 替代方案: 如果确实需要获取引用页面的完整路径，您可能需要考虑其他客户端协作方式：
   • 客户端传递: 在引用您的 J*aScript 代码的页面上，可以通过 J*aScript 获取 window.location.href，然后将其作为查询参数或 POST 数据传递给您的 Sinatra 服务。
   • 用户授权: 在某些特定应用场景下，如果用户明确授权，可以通过其他机制（如 OAuth）获取更详细的客户端信息。

综上所述，当在 Sinatra 应用中发现 request.referrer 无法获取完整的跨域引用 URL 时，应理解这是现代浏览器 Referrer Policy 的预期行为。开发者需要适应这一变化，并根据实际需求考虑采用其他客户端辅助的解决方案，而不是期望服务器端能直接绕过浏览器的安全策略。

以上就是Sinatra 应用中获取完整引用 URL 的策略与挑战的详细内容，更多请关注其它相关文章！

# 可选  # 邯郸关键词排名提升案列  # 如何优化网站手机端速度  # 医药网站设计推广方案  # 定制企业网站seo  # 南方seo排名怎样做  # 广东区域seo推广公司  # 麒麟seo教材  # 开发区外贸网站优化公司  # 台山网站建设制作报价  # 怎么做seo团队  # 隐私保护  # 安全策略  # 有什么不同  # javascript  # 可以通过  # 这是  # 客户端  # 小爱  # 您的  # 跨域  # win  # 后端  # 端口  # 浏览器  # html  # java 

相关栏目： 【 科技资讯46185 】 【 网络学院92790 】

相关推荐： 如何更改在 Excel 中打开超链接时的默认浏览器  外媒分析《GTA6》定价：卖100美元可以但真没必要！  提升Kafka消费者健壮性：会话超时处理与消息处理语义  印象笔记如何设提醒任务防漏执行_印象笔记设提醒任务防漏执行【任务提醒】  一加Ace 6T实拍样张首次公布！李杰：主摄实力完全看齐4K档性能旗舰  荣耀Play7TPro怎样在信息App置顶客服对话_iPhone荣耀Play7TPro信息App置顶客服对话【优先查看】  C++如何检测键盘输入_C++ _kbhit与_getch函数非阻塞输入  铁路12306官网网页端快速入口 铁路12306官方首页登录教程  mc.js游戏直达 mc.js网页免下载版本秒进地址  c++如何实现单例设计模式_c++线程安全的单例模式写法  Win11蓝牙耳机断连怎么解决 Win11蓝牙设置重新配对与驱动更新【技巧】  Python实时数据流中的动态最值查找策略  AI抖音网页版免费视频入口 AI抖音网页端最新视频实时观看  夸克浏览器网页版最新地址 夸克浏览器官方入口合集  MAC怎么让Dock栏只显示当前运行的应用_MAC终端命令实现极简Dock栏  如何在低配置电脑上搭建轻量级J*a环境_占用更小的环境选择技巧  优化Log4j2控制台输出性能：解决异步日志瓶颈  解决 Vaadin 8 中大文件音频播放与定位时出现的 IOException  反效果？《战地6》免费试玩开启后玩家数不升反降  解决 Express.js 中 PUT 请求密码修改失败的路由配置指南  免费抖音短视频入口_抖音网页版短视频免费通道  Django通过AJAX异步上传图片并保存至模型的完整指南  C++如何操作大型数据集_使用C++流式处理(Streaming)技术避免一次性加载大文件  在命令行怎么运行html项目_命令行运行html项目方法【教程】  如何在J*a中实现统一对象行为接口_项目大型化时的接口规范化  谷歌浏览器浏览体验优化_谷歌浏览器新版直连永久可用提示  《主播少女的秘密账号迷宫》首支宣传片  AO3网页版合集入口 Archive of Our Own同人作品浏览指南  漫蛙2漫画入口 漫蛙正版网页漫画直达网址  知乎APP怎么管理已购盐选内容_知乎APP盐选内容购买记录与查看方法  地铁跑酷免费秒玩入口链接 地铁跑酷小游戏免费秒玩网站  lar*el怎么安全地存储和获取配置文件中的敏感信息_lar*el敏感信息安全存储方法  QQ邮箱网页版入口登录 QQ邮箱在线邮箱官方通道  三星ZFold5多任务卡顿_Samsung ZFold5流畅度提升  Spring Boot嵌入式服务器与J*a EE：功能支持深度解析  狙击外星人小游戏开始_狙击外星人小游戏立即开始  NRF24L01数据传输深度解析：解决大载荷接收异常与分包策略  如何使用纯J*aScript判断Input元素是否在特定类容器内  PowerPoint如何制作滚动字幕结尾彩蛋_PowerPoint路径动画实现平滑滚动字幕效果  菜鸟取件码是什么怎么查 最全查询渠道汇总  CSS图片焦点样式实现教程：理解与应用tabindex属性  word中如何让数字纵向排列_Word数字纵向排列方法  如何创建没有密码的Windows本地账户_跳过微软账户登录的技巧【教程】  新手怎么开始学化妆 零基础化妆入门教程  圆通快递查询实时追踪 圆通物流包裹状态快速查看  在Go Martini框架中高效服务动态生成图像的实践指南  Bilibili动漫最新防封地址发布-Bilibili动漫2025年最稳正版入口推荐  虫虫漫画精品漫画官网_虫虫漫画精品漫画官网进入精品漫画  大象笔记网页版入口 印象笔记网页版登录入口  CSS Flexbox与媒体查询：实现响应式布局中元素的并排与堆叠