本文介绍如何通过 html 原生属性(如 rel="noreferrer")安全、可靠地控制跳转时的 referer 头,避免暴露真实来源,且无需依赖 javascript,兼容所有现代浏览器并支持禁用 js 的用户。
在 Web 开发中,当用户从 page1.com 点击链接跳转至 example1.com 时,浏览器默认会在 HTTP 请求头中携带 Referer: https://page1.com。这虽有助于分析流量来源,但也可能带来隐私泄露或反爬识别风险——尤其当你希望隐藏真实来源,或模拟特定 Referer(如 rock&roll.com)时。
⚠️ 需要明确的是:HTML 标准不支持设置自定义 Referer 值(例如强制将 Referer 改为 rock&roll.com)。出于安全与隐私考虑,W3C 明确禁止前端脚本或标记直接伪造 Referer。但你可以通过以下两种方式有效控制 Referer 行为:
✅ 推荐方案:使用 rel="noreferrer" 彻底移除 Referer
这是最标准、最可靠、零 JS 依赖的方案。只需在 标签中添加 rel="noreferrer",浏览器将完全省略 Referer 请求头,并自动启用 noopener(防范 window.opener 安全漏洞):
访问示例站点
效果:目标站点(example1.com)收到的请求中 无 Referer 头,服务器日志或 document.referrer 均为空字符串。
? 补充说明:rel="noreferrer" 同时隐含 rel="noopener",因此无需额外添加;若需兼顾 SEO 友好性,可叠加 nofollow(仅影响搜索引擎抓取,不影响 Referer 行为):安全跳转链接
❌ 不可行方案:尝试伪造自定义 Referer
- 浏览器扩展、服务端代理或 fetch() + Referrer-Policy 无法在跨域跳转中伪造 Referer 值;
-
仅作用于当前页面发起的后续请
求(如图片、脚本加载),对 跳转无效;
- JavaScript 的 location.replace() 或 window.open() 无法覆盖 Referer(window.open(url, '_blank', 'noopener') 仅能清空,不能自定义)。
求(如图片、脚本加载),对 跳转无效;
✅ 进阶控制:服务端跳转 + Referrer-Policy(可选)
若你控制目标站点(example1.com),可通过响应头限制其自身外链的 Referer 暴露范围:
Referrer-Policy: strict-origin-when-cross-origin
但这属于接收方策略,不解决「从 page1.com 出发时隐藏来源」的需求。
总结
| 目标 | 是否可行 | 推荐方式 |
|---|---|---|
| 完全隐藏 Referer(设为空) | ✅ 是 | |
| 将 Referer 改为任意自定义值(如 rock&roll.com) | ❌ 否 | 浏览器禁止,无合规前端方案 |
| 兼容禁用 JS 的用户 | ✅ 是 | rel="noreferrer" 原生支持,无需脚本 |
始终优先使用语义化 HTML 属性而非 JavaScript 重定向——它更快、更健壮、更符合渐进增强原则。
