惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

H
Heimdal Security Blog
A
Arctic Wolf
K
Kaspersky official blog
V
Vulnerabilities – Threatpost
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Simon Willison's Weblog
Simon Willison's Weblog
L
LINUX DO - 热门话题
MongoDB | Blog
MongoDB | Blog
T
Threat Research - Cisco Blogs
D
Docker
爱范儿
爱范儿
T
Tenable Blog
C
Check Point Blog
B
Blog
C
Cisco Blogs
Vercel News
Vercel News
The Cloudflare Blog
T
Threatpost
NISL@THU
NISL@THU
T
Tor Project blog
V2EX - 技术
V2EX - 技术
P
Palo Alto Networks Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
T
Tailwind CSS Blog
G
GRAHAM CLULEY
P
Privacy & Cybersecurity Law Blog
SecWiki News
SecWiki News
博客园 - 司徒正美
S
Security @ Cisco Blogs
GbyAI
GbyAI
S
Secure Thoughts
Microsoft Security Blog
Microsoft Security Blog
The Register - Security
The Register - Security
Recorded Future
Recorded Future
Cloudbric
Cloudbric
Webroot Blog
Webroot Blog
N
News and Events Feed by Topic
Y
Y Combinator Blog
博客园_首页
T
Troy Hunt's Blog
The Hacker News
The Hacker News
雷峰网
雷峰网
Google DeepMind News
Google DeepMind News
U
Unit 42
AWS News Blog
AWS News Blog
PCI Perspectives
PCI Perspectives
V
Visual Studio Blog
博客园 - 聂微东
有赞技术团队
有赞技术团队
酷 壳 – CoolShell
酷 壳 – CoolShell

元视角

.NET 生态下的 Agent 框架选型:从 ReAct 到原生推理 - 元视角 从「能用」到「好用」:LLM 流式响应实现方式的探索之路 - 元视角 当我用 2000 条聊天记录,让 AI 为我画一幅自画像 - 元视角 基于 Supabase 的 AI 应用开发探索 - 元视角 微博 × MCP:社交媒体新玩法解锁 - 元视角 四点钟海棠花未眠 - 元视角 Semantic Kernel × MCP:智能体的上下文增强探索 - 元视角 基于 K-Means 聚类分析实现人脸照片的快速分类 - 元视角 容器技术驱动下的代码沙箱实践与思考 - 元视角 温故而知新:后端通用查询方案的再思考 - 元视角 浅议 CancellationToken 在前后端协同取消场景中的应用 - 元视角 Semantic Kernel 视角下的 Text2SQL 实践与思考 - 元视角 关于 ChatGPT 的流式传输,你需要知道的一切 - 元视角 RAG 的是与非、Rewrite 和 Rerank - 元视角 使用 EFCore 和 PostgreSQL 实现向量存储及检索 - 元视角 基于 LLaMA 和 LangChain 实践本地 AI 知识库 - 元视角 使用 llama.cpp 在本地部署 AI 大模型的一次尝试 - 元视角 如何为 Git 配置多个 SSH Key - 元视角 C# 使用 LibUsbDotNet 实现 USB 设备检测 - 元视角 基于 C# 实现样式与数据分离的打印方案 - 元视角 基于 SVG 的图形交互方案实践 - 元视角 前端视频播放技术概览 - 元视角 温故而知新,再话 Python 动态导入 - 元视角 后 GPT 时代,NLP 不存在了? - 元视角 视频是不能 P 的系列:使用 Milvus 实现海量人脸快速检索 - 元视角 GDI+下字体大小自适应方案初探 - 元视角 小爱音箱集成 ChatGPT 的不完全教程 - 元视角 程序员视角下的三体世界随想 - 元视角 关于 Docker 容器配置信息的渐进式思考 - 元视角 在 Docker 容器内集成 Crontab 定时任务 - 元视角 为你的服务器集成 LDAP 认证 - 元视角 似花还似非花 - 元视角 视频是不能 P 的系列:使用 Dlib 实现人脸识别 - 元视角 浅议分布式链路追踪与日志的整合 - 元视角 关于 Git 大文件上传这件小事 - 元视角 .NET 进程内队列 Channel 的入门与应用 - 元视角 使用 Fody 实现 .NET 的静态编织 - 元视角 .NET Core + ELK 搭建可视化日志分析平台(下) - 元视角 聊一聊前端图片懒加载背后的故事 - 元视角 支持外部链接跳转的 Vue Router 扩展实现 - 元视角 视频是不能 P 的系列:OpenCV 和 Dlib 实现表情包 - 元视角 不得不说的 ASP.NET Core 集成测试 - 元视角 再议 DDD 视角下的 EFCore 与 领域事件 - 元视角 Vue.js 前端项目容器化部署实践极简教程 - 元视角 再见,人间四月天 - 元视角 Python 图像风格化迁移助力画家梦想 - 元视角 利用 ASP.NET Core 中的标头传播实现分布式链路追踪 - 元视角 利用 gRPC 实现文件的上传与下载 - 元视角 七种武器:延迟队列的原理和实现总结 - 元视角 gRPC 流式传输极简入门指南 - 元视角 Envoy 集成 Jaeger 实现分布式链路追踪 - 元视角 浅议非典型 Web 应用场景下的身份认证 - 元视角 gRPC 借助 Any 类型实现接口的泛化调用 - 元视角 分布式丛林探险系列之 Redis 集群模式 - 元视角 分布式丛林探险系列之 Redis 主从复制模式 - 元视角 通过 Python 预测 2021 年双十一交易额 - 元视角 gRPC 搭配 Swagger 实现微服务文档化 - 元视角 SSL/TLS 加密传输与数字证书的前世今生 - 元视角 使用 Python 自动识别防疫健康码 - 元视角 你不可不知的容器编排进阶技巧 - 元视角 ASP.NET Core 搭载 Envoy 实现 gRPC 服务代理 - 元视角 再话 AOP,从简化缓存操作说起 - 元视角 ASP.NET Core 搭载 Envoy 实现微服务身份认证(JWT) - 元视角 ASP.NET Core 搭载 Envoy 实现微服务的监控预警 - 元视角 ASP.NET Core 搭载 Envoy 实现微服务的反向代理 - 元视角 ASP.NET Core gRPC 打通前端世界的尝试 - 元视角 EFCore 实体命名约定库:EFCore.NamingConventions - 元视角 ASP.NET Core gRPC 集成 Polly 实现优雅重试 - 元视角 ASP.NET Core gRPC 健康检查的探索与实现 - 元视角 ASP.NET Core gRPC 拦截器的使用技巧分享 - 元视角 SnowNLP 使用自定义语料进行模型训练 - 元视角 使用 HttpMessageHandler 实现 HttpClient 请求管道自定义 - 元视角 ABP vNext 的实体与服务扩展技巧分享 - 元视角 ABP vNext 对接 Ant Design Vue 实现分页查询 - 元视角 源代码探案系列之 .NET Core 跨域中间件 CORS - 元视角 源代码探案系列之 .NET Core 限流中间件 AspNetCoreRateLimit - 元视角 源代码探案系列之 .NET Core 并发限制中间件 ConcurrencyLimiter - 元视角 通过 EmbededFileProvider 实现 Blazor 的静态文件访问 - 元视角 低代码,想说爱你不容易 - 元视角 记一次失败的 ThoughtWorks 面试经历 - 元视角 从 C# 1.0 到 C# 9.0,历代 C# 语言特性一览 - 元视角 通过 Python 分析 2020 年全年微博热搜数据 - 元视角 基于 Python 和 Selenium 实现 CSDN 一键三连自动化 - 元视角 使用多线程为你的 Python 爬虫提速的 N 种姿势,你会几种? - 元视角 实现网页长截图的常见思路总结 - 元视角 温故而知新,由 ADO.NET 与 Dapper 所联想到的 - 元视角 视频是不能 P 的系列:OpenCV 人脸检测 - 元视角 作为技术宅的我,是这样追鬼滅の刃的 - 元视角 使用 Python 抽取《半泽直树》原著小说人物关系 - 元视角 厉害了!打工人用 Python 分析西安市职位信息 - 元视角 使用 dotTrace 对 .NET 应用进行性能分析与优化 - 元视角 一道 HashSet 面试题引发的蝴蝶效应 - 元视角 基于选项模式实现.NET Core 的配置热更新 - 元视角 Dapper.Contrib 在 Oracle 环境下引发 ORA-00928 异常问题的解决 - 元视角 .NET Core 中对象池(Object Pool)的使用 - 元视角 利用 MySQL 的 Binlog 实现数据同步与订阅(下):EventBus 篇 - 元视角 利用 MySQL 的 Binlog 实现数据同步与订阅(中):RabbitMQ 篇 - 元视角 利用 MySQL 的 Binlog 实现数据同步与订阅(上):基础篇 - 元视角 记一次从已损坏的 Git 仓库中找回代码的经历 - 元视角 .NET Core 原生 DI 扩展之属性注入实现 - 元视角
Referrer 还是 Referer? 一个迷人的错误 - 元视角
飞鸿踏雪 · 2019-12-05 · via 元视角

诗人郑愁予曾经在一首诗中写道:我达达的马蹄是个美丽的错误,我不是归人,是个过客。而对我来说,十九岁之前的我,一样是个沉浸在诗歌中的文艺少年。十九岁之后的我,作为一名程序员,更多的是邂逅各种错误。可偏偏人类世界对待错误从来都不宽容,所以,错误本身既不美丽,亦不浪漫。接近中年的我,无论如何,都写不出年轻时令人惊艳的句子,这或许和我们面对错误时的不同心境,有着莫大的关联,而今天这篇博客,同样要从一个历史上的错误说起。

因拼写而怀疑人生

话说,博主这天做了一个非常“简单”的功能,它允许用户通过富文本编辑器来编写 HTML,而这些 HTML 会被插入到页面的特定位置,譬如用户可以为页脚的备案号添加一个超链接,当用户点击备案号的时候,就可以调转到工信部备案号查询的网站上。这个功能非常简单吧,因为这就是 HTML 中 a 标签的作用。博主快速了引入 UEditor,虽然这个项目百度都不再继续维护了,虽然它直接把跨域问题甩锅给使用者,可我还是完成了这个功能。相信你能感受到我的不情愿吧,显然这不是重点,因为剧情的反转才是……

结果没高兴多久,测试同事就同我讲,客户提供的地址填进去以后,点击链接浏览器直接返回 4XX,可明明这个地址敲到浏览器里就能打开啊……我脑海中快速地浮现出那道经典的面试题,浏览器里敲完地址按下回车的瞬间到底发生了什么?习惯性怀疑人生后,我发现居然是因为 Referer 的问题,从我们站点调转到客户站点的时候携带了 Referer,虽然有很多种方法可以让浏览器禁止携带 Referer,但我还是被这种历史性的错误搞得怀疑人生。因为人生最难的事情,就是“揣着明白装糊涂”和“揣着糊涂装明白”,所谓“假作真时真亦假”。

请注意区分RefererReferrer这两个单词,眼尖的人会发现后者多了一个 r,这有点像什么呢,大概类似于 usr 和 user。我们总是不情愿地相信这是历史的错误,而固执地想要找到一种能自圆其说的理由。诚然,“前人栽树,后人乘凉”,可我实在不肯承认,这是一群卓越而智慧的先驱们,所创造出的某种高效简写。回顾一下,使用 Referer 的场合,基本都是在 HTTP 头部,最常见的场景就是防盗链,Nginx 能用 Referer 判断访问者来源,爬虫就能用 Referer 和 UserAgent 伪造访问者身份。那什么时候用 Referrer 呢?我目前发现是在 a 标签的 rel 属性里,例如下面的例子:

<a rel="noreferrer" href="https://www.w3school.com.cn/tags/att_a_rel.asp">w3school</a>

除此之外,rel 属性还支持像 nofollow、friend、licence 这样的属性,详细地大家可以参考这里。相信大家想到博主经历了什么了,没错,我就是按照平时的书写习惯写了 Referer,然后被 Web 标准委员会给疯狂地嘲讽了。那么,为什么表达同一个含义的词会有两种写法?为什么有时候要用 Referer,而有时候要用 Referrer? 这特么到底是怎么一回事儿……带着这些疑问,让我们一起回顾野蛮生长的 Web 标准,为什么要埋这样一个坑在这里。

后世不忘,前世之锅

故事要追溯到上个世纪 90 年代,当时 HTTP 协议中需要有一个用来表示页面或资源来源的请求头部,Philip Hallam-Baker 将这个请求头部定义为 Referer,并将其写入了RFC1945,这就是著名的 HTTP/1.0 协议。

HTTP/1.0协议中定义的Referer HTTP/1.0协议中定义的Referer

然而这里发生一件有趣的事情,这个单词实际上是被作者给拼错了,即正确的拼写应该是Referrer。因为发现这个错误时为时已晚,大量的服务端和客户端都采用了这个错误的拼写,谁让它被写到了 HTTP 协议里呢?这其中就有像 Nginx 里的ngx_http_referer_module、Django 里的HttpRequest.META.HTTP_REFERER等等。考虑到这个错误波及的范围过大,HTTP 标准制定者奉决心将错就错,于是在接下来的RFC2616,即 HTTP/1.1 中,HTTP 标准制定者追加了针对这个错误的说明:

HTTP/1.1协议中定义的Referer HTTP/1.1协议中定义的Referer

说到这里,大家至少明白了一件事情,这个错误的Referer其实是指Referrer。对于标准写错了这件事情,大家其实都能理解,因为只要是人就免不了会出错。可为什么不能一错到底呢?既然要使用Referer这个错误的拼写,那就一直这样错下去好了,为什么特么又冒出来个Referrer,虽然它的拼写的确是对的,可不统一的写法还是会让人抓狂啊!君不见mainmian傻傻分不清,君不见 C++里falseflase的神奇宏定义。假如没有今天这个事情,我完全不知道还有Referrer的存在啊,可都拼错多少年了,我都把假当作真了,你突然这样搞,我还是会感到手足无措的啊!就像Configuration这个单词,虽然博主英语并不算太好,可至少敢拍着胸脯说这个单词没写错,结果有次我写对了反而让测试给我提了 Bug,因为特么项目里定义的实际上是Configuation。你说,你这样让人崩溃不?

那么,为什么会有Referrer这个正确的拼写呢?这就要说到Referrer-Policy这个 HTTP 头部。不错,这次你没有看错,标准制定老爷们这次终于写对了。顾名思义,这是一种用来告诉浏览器应该如何发送 Referer 的策略。常见的取值有:no-referrer、no-referrer-when-downgrade、origin、origin-when-cross-origin、same-origin、strict-origin、strict-origin-when-cross-origin、unsafe-url,关于它们的含义及用途,大家可以参考这里。虽然我们经常吐槽 JavaScript 是一门垃圾语言,但是这一次,大家居然都非常齐心地统一了写法,譬如DOM Level 2里定义的 document.referrerFetch API中的Request接口的referrer属性等,这一次都写对了。而 Referrer-Policy 除了和 JavaScript 可以集成以外,同样可以和 HTML、CSS 集成。博主一开始遇到的问题,实际上就是和 HTML 集成的一个场景。

//meta标签里的'referrer'
<meta name="referrer" content="origin">
//出现在a, area, img, iframe, script, <link>等元素里的'referrer'
<a href="http://example.com" referrerpolicy="origin">
//出现在a, area, link等标签的rel属性里的'referrer'
<a href="http://example.com" rel="noreferrer">

而和 CSS 集成实际上就是 style 标签中的referrerpolicy属性,它默认是 no-referrer-when-downgrade,我们可以在返回一个 CSS 文件的时候设置响应流的Referrer-Policy,或者是设置 style 标签中的referrerpolicy属性,这个就不展开讲啦!

本文小结

通过这次被标准制定者按在地上摩擦的经历,居然无意中收获了这样一段"迷人"的历史。假如 JavaScript 这里为了兼容历史错误而使用Referer的话,可能博主就不会一边吐槽这个错误,一边又乖乖地滚去读 RFC2616。从这里可以得出一个结论:HTTP 请求中的 Referer 是一个典型的拼写错误,历史悠久,可以预见还会一直错下去,以后 Referer 变成一个专有名词也说不定。所以一般涉及到读取 HTTP 请求头的场景,我们需要用 Referer 这种错误拼写(后端);除此之外一般都要用 Referrer 这种正确的拼写(前端)。有人说,使用 JavaScript 开发同构应用的体验非常好,恐怕从今天这篇博客以后要打个折扣,因为你刚刚在后端写完referer,转眼就要在前端写referrer,希望像博主这样的伪全栈工程师不会因此而精神分裂。实用主义者能用就行的策略,让这个错误在很多年以后还被人提起,假如这些标准制定者尚在人世的话,不知道会不会在浏览网页的时候,想起第一次起草RFC1945的那个下午。果然,历史还真是迷人啊!