Quel est le moyen le plus fiable pour masquer / usurper le référent en JavaScript?

Normalement, le référent est identifiable par:

  • JavaScript document.referrer
  • Les en-têtes de requête, par exemple PHP $_SERVER['HTTP_REFERER']

J'ai mis en place un Codepad démo qui montre ces propriétés, à des fins de test.

Exigences:

  1. L'original référent doit effectivement être caché, au moins pour tous les événements de la souris.
  2. En charge des navigateurs (au moins Chrome et Firefox).
  3. Autonome, sans aucun contenu externe (plug-ins, les bibliothèques, les pages de redirection, ...).
  4. Pas d'effets secondaires: les Liens pas être réécrit, les entrées de l'historique doit être préservé.

La solution sera utilisé pour masquer le référent en suivant un lien de <a href="url">.

Exacte description des cas d'utilisation

Comme décrit dans cette question sur les Webapps, des liens à Google de Recherche sont modifiés lors d'un clic. Par conséquent,

  1. Google est en mesure de suivre votre comportement de recherche (de la vie privée-- )
  2. La demande de la page est légèrement en retard.
  3. De la page liée ne peut pas suivre votre Google à la requête de recherche (de Confidentialité++ )
  4. Glisser/copier Url de ressembler à http://google.com/lotsoftrash?url=actualurl.

Je suis l'élaboration d'un Script (Firefox) /le Contenu du script (le Chrome) (code), qui supprime Google lien-mutilante de l'événement. En conséquence, les points 1, 2 et 4 sont traitées.

Le Point 3 de la demeure.

  • Chrome: <a >
  • Firefox: data-Uri. J'ai créé une approche plus sophistiquée de mettre en œuvre cette fonctionnalité pour la gauche - et moyen-clics, tout en continuant de l'application du point 4. Cependant, j'ai du mal avec le bouton droit sur la méthode.
  • FWIW, Facebook rediriger tous les liens externes à l.php?the_url_you_want_to_visit, pour s'assurer qu'aucune information personnelle n'est inclus dans le référent de l'attribut. Cela pourrait être un indice vers "il n'est pas possible". Leurs ingénierie détaillée note pourrait être d'intérêt.
  • La raison pour laquelle je veux pas utiliser des pages de redirection est 1) cliquez-Droit sur la copie sera de retour le lien de redirection (au lieu du réel). 2) Une page externe est en cause, ce qui réduit la vitesse de navigation. Voir ce script.
  • le <a rel= "nofollow" > servir le but? Il empêche efficacement les moteurs de recherche de donner trop d'importance à l'utilisateur de générer des liens tels que ceux sur les forums (que les gens mettent dans leurs signes)
  • Je pense qu'il y a une meilleure idée de rompre google code code qui remplace la plaine des liens avec leurs spyredirector
  • Qu'est-ce exactement faire de la lutte avec, concernant clique avec le bouton droit? La "ouvrir dans un onglet" menu contextuel de l'entrée? Je suis assez sûr que l'exigence 4 rend cela impossible à résoudre avec un script.
  • Sur contextmenu: masquer le référent, mais garder l'URL d'origine sur la copie. Il y a très peu, si ce n'est aucune des sources sur l'Internet pour résoudre ce problème. La créativité est sûrement nécessaire pour résoudre ce problème.
  • Il est possible de garder copie: jsfiddle.net/efa5Q (pour une raison quelconque, la copie de la commande utilise une méthode particulière). Cependant, les autres éléments de menu contextuel comme "enregistrer sous...", "envoyer" ou "ajouter un signet" va recevoir les données de l'url.
  • excellente question!
  • +1 -c'est une longue question. que ce soit pour de bonnes ou ad [sic] il a beaucoup de mérite, et il ya des moments où vous avez juste BESOIN de contourner le référent (j'ai un exemple juste maintenant où se référant via mon lien de produit que l'url est correcte, mais ensuite l'url de base détecte cette redirsct et les enjeux de sa propre redirection de mon nom de domaine -pas ce que je veux. je vais essayer votre solution et voir si cela fonctionne. cependant, l' +1 reste de toute façon que la logique ici a piqué mon esprit!!

InformationsquelleAutor Rob W | 2012-01-17
  1. 40

    J'ai trouvé une solution qui fonctionne dans Chrome et Firefox. J'ai mis en place le code dans un Script, Ne pas suivre moi Google.

    Démo (testé dans Firefox 9 et Chrome 17): http://jsfiddle.net/RxHw5/

    Référent de la clandestinité pour Webkit (Chrome, ..) et Firefox 37+ (33+*)

    Basé sur Webkit navigateurs (google Chrome, Safari) soutien <a >spec.

    Référent de masquage peut être pleinement mises en œuvre en combinant cette méthode avec deux écouteurs d'événement:

    • mousedown - Sur un clic, clic milieu, cliquez-droit sur contextmenu, ...
    • keydown (Tab Tab Tab ... Entrée).

    Code:

    function hideRefer(e) {
   var a = e.target;
   //The following line is used to deal with nested elements,
   // such as: <a href="."> Stack <em>Overflow</em> </a>.
   if (a && a.tagName !== 'A') a = a.parentNode;
   if (a && a.tagName === 'A') {
      a.rel = 'noreferrer';
   }
}
window.addEventListener('mousedown', hideRefer, true);
window.addEventListener('keydown', hideRefer, true);

    * rel=noreferrer est pris en charge dans Firefox depuis 33, mais le soutien est limité à la page des liens. Des référents ont été encore envoyé lorsque l'utilisateur ouvre l'onglet via le menu contextuel. Ce bogue a été corrigé dans Firefox 37 [bug 1031264].

    Référent de masquage pour les anciennes versions de Firefox

    Firefox n'a pas de soutien jusqu'à la version 33 `[bug 530396] (ou 37, si vous voulez cacher le référent pour les menus contextuels ainsi).

    Un data-URI + <meta http-equiv=refresh> peut être utilisé pour masquer le référent dans Firefox et IE). La mise en œuvre de cette fonctionnalité est plus compliqué, mais nécessite également deux événements:

    • click Cliquez sur le clic du milieu, Entrée
    • contextmenu - Sur clic droit, Tab Tab ... Contextmenu

    Dans Firefox, la click événement est déclenché pour chaque mouseup et appuyant sur la touche Entrée sur un lien (ou contrôle de formulaire). Le contextmenu événement est nécessaire, car le click événement se déclenche trop tard pour ce cas.

    Basés sur les données-URIs et en une fraction de seconde délais d'attente:

    Lorsque le click événement est déclenché, le href attribut est temporairement remplacé par un data-URI. L'événement terminé, et le comportement par défaut se produit: l'Ouverture de la data-URI, dépend de la target attribut et SHIFT/CTRL modificateurs.

    Pendant ce temps, le href attribut est restauré à son état d'origine.

    Lorsque le contextmenu événement est déclenché, le lien change également pour une fraction de seconde.

    • La Open Link in ... options ouvrir le data-URI.
    • La Copy Link location option fait référence à la restauration, URI originale.
    • ☹ La Bookmark option fait référence à la data-URI.
    • Save Link as points à la data-URI.

    Code:

    //Create a data-URI, redirection by <meta http-equiv=refresh content="0;url=..">
function doNotTrack(url) {
   //As short as possible. " can potentially break the <meta content> attribute,
   //# breaks the data-URI. So, escape both characters.
   var url = url.replace(/"/g,'%22').replace(/#/g,'%23');
   //In case the server does not respond, or if one wants to bookmark the page,
   // also include an anchor. Strictly, only <meta ... > is needed.
   url = '<title>Redirect</title>'
       + '<a href="' +url+ '" style="color:blue">' +url+ '</a>'
       + '<meta http-equiv=refresh content="0;url=' +url+ '">';
   return 'data:text/html,' + url;
}
function hideRefer(e) {
   var a = e.target;
   if (a && a.tagName !== 'A') a = a.parentNode;
   if (a && a.tagName === 'A') {
      if (e.type == 'contextmenu' || e.button < 2) {
         var realHref = a.href; //Remember original URI
         //Replaces href attribute with data-URI
         a.href = doNotTrack(a.href);
         //Restore the URI, as soon as possible
         setTimeout(function() {a.href = realHref;}, 4);
      }
   }
}
document.addEventListener('click', hideRefer, true);
document.addEventListener('contextmenu', hideRefer, true);

    Combinaison de ces deux méthodes

    Malheureusement, il n'y a pas de façon simple de détecter les fonctionnalités de cette fonctionnalité (laisser seul compte pour les bugs). Ainsi, vous pouvez sélectionner le code approprié basé sur navigator.userAgent (c-UA-sniffing), ou d'utiliser l'un de l'enchevêtrement des méthodes de détection de Comment puis-je détecter soutien?.

    InformationsquelleAutor Rob W
  2. 10

    Ne pouvez pas vous créer un système de liaison qui se trouve dans les iframes?

    Si vous enchaînez un iframe autour de chaque lien, l'iframe peut agir comme un externe de référence. L'utilisateur, cliquez sur le lien à l'intérieur du cadre, l'ouverture d'une page dont le référent est définie à l'iFrame de l'emplacement, à la place de la page.

    • Je viens de lire votre réponse encore une fois. C'est une belle idée. Pouvez-vous expliquer vos pensées sur la définition d'un autre URL de l'iFrame, sans l'aide des pages externes? Ce qui sur le positionnement de l'iFrame?
    • J'ai reçu la prime de votre réponse, car elle ne contient potentiellement un concept utile, après le peaufinage. Cette méthode a certains défauts/problèmes cependant. Le principal problème est le positionnement et l'emplacement de l'image. À l'aide de la tab afin de naviguer entre les liens devient de plus en plus compliqué ainsi. Enfin, l'impact sur les performances et douceur d'ajouter dynamiquement les images sur tous les points de contrôle est également un sujet de préoccupation.
    • jpgerek mis en œuvre la méthode décrite dans la présente réponse. Voir cette réponse sur cette page.
    • Découvrez ma solution iframe: stackoverflow.com/a/36985541/1017480
    InformationsquelleAutor fmsf
  3. 6

    Comme demandé, à l'aide de JavaScript:

    var meta = document.createElement('meta');
meta.name = "referrer";
meta.content = "no-referrer";
document.getElementsByTagName('head')[0].appendChild(meta);

    Cela va ajouter la balise meta suivante à la section d'en-tête de la page web:

    <meta name="referrer" content="no-referrer" />

    À partir de 2015 c'est la façon dont vous prévenir de l'envoi de l'en-tête Referer.

    • Cela semble fonctionner dans les navigateurs Firefox, Chrome et Opera (et soi-disant aussi dans la dernière version de Safari - caniuse.com/referrer-policy), mais je ne vois pas une déclaration expresse dans la spécifications que l'insertion d'une balise meta via JavaScript devient immédiatement efficace. Samu sont toujours conforme à la norme, si elles arrêtent de script de traitement à injection de meta tags. Apparemment (basée sur la lecture à propos de Firefox est mise en œuvre dans le bugzil.la/704320), le dernier traitement de la balise meta toujours "gagne". (à suivre)
    • <meta name=referrer> semble être un excellent choix si vous voulez toujours de déclarer un référent spécifique de la politique, mais dans le cas contraire (si vous voulez seulement la cible d'un lien spécifique) à l'aide de <a > est plus approprié, parce que 1) il prend la priorité sur le référent politique, 2) il est spécifique pour le lien et ne pas avoir des effets secondaires sur d'autres liens dans le document et 3) il a une meilleure prise en charge du navigateur.
    • Pour les liens, oui. Cependant, la balise meta fonctionne également pour les requêtes Ajax. Et il semble que la SEULE façon de désactiver le référent pour l'Ajax.
    InformationsquelleAutor MarcG
  4. 3

    Il y a une croix navigateur solution en Javascript qui supprime le référent, il utilise des Iframes créé dynamiquement, vous pouvez prendre un coup d'oeil à un la preuve de concept ( avertissement: il utilise une bibliothèque JS que j'ai écrit ).

    • Merci pour l'affichage de la mise en œuvre de la méthode décrite dans cette réponse. Il n' pas de travail à l'Opéra (testé 11.62, 12.00 b, 12.02) si. D'autre part, il ne fonctionne dans Safari 3+, Chrome 1+, Firefox 1+ et IE6, 7 et 8. Il n' fonctionne pas dans Internet Explorer 9 et 10. Donc, dans la pratique, il est seulement utile dans Chrome, Safari et Firefox.
    InformationsquelleAutor jpgerek
  5. 3

    Vous pouvez utiliser la nouvelle Référent de la Politique projet de norme pour éviter que l'en-tête referer est envoyé à la demande de l'origine. Exemple:

    <meta name="referrer" content="none">

    Bien que Chrome et Firefox ont déjà mis en œuvre un projet de version de le Référent de la Politique, vous devez être prudent avec elle parce que par exemple google Chrome s'attend à ce no-referrer au lieu de none (et j'ai aussi vu never quelque part). Je ne connais pas le comportement si vous venez d'ajouter trois balises meta, mais dans le cas où cela ne fonctionne pas, vous pouvez toujours juste mettre en œuvre un petit script qui parcourt tous les trois valeurs et vérifie si la valeur a été vraiment mis après la définition de l'attribut/propriété de la balise meta.

    Cette balise meta s'applique à toutes les demandes sur la page en cours (ajax, les images, les scripts, les autres ressources...) et la navigation vers une autre page.

    InformationsquelleAutor Joel Richard
  6. 1

    C'est plus compliqué qu'il ne paraît à première vue. Regarder le code de ce projet:

    https://github.com/knu/noreferrer

    Il promet tout ce que vous voulez, mais vous devez le faire sur le lien de la page.

    • Avait l'air prometteur, à l'origine. Cependant, il n'est pas plus différent que ma propre méthode (actuellement à l'aide de données d'url+meta, ), sauf pour la désactivation du moyen-méthode de la souris, ce qui n'est pas souhaité. J'ai l'habitude de cliquer sur des liens à l'aide de la molette de défilement.
    InformationsquelleAutor Boldewyn
  7. 1

    Ce que vous demandez ne peut pas être fait dans Firefox.

    La contexte actuel du menu de mise en œuvre passe toujours le document actuel en tant que référent:

    //Open linked-to URL in a new window.
openLink: function () {
    var doc = this.target.ownerDocument;
    urlSecurityCheck(this.linkURL, doc.nodePrincipal);
    openLinkIn(this.linkURL, "window", {
        charset: doc.characterSet,
        referrerURI: doc.documentURIObject //<----------------
    });
},

//Open linked-to URL in a new tab.
openLinkInTab: function () {
    var doc = this.target.ownerDocument;
    urlSecurityCheck(this.linkURL, doc.nodePrincipal);
    openLinkIn(this.linkURL, "tab", {
        charset: doc.characterSet,
        referrerURI: doc.documentURIObject //<----------------
    });
},

//open URL in current tab
openLinkInCurrent: function () {
    var doc = this.target.ownerDocument;
    urlSecurityCheck(this.linkURL, doc.nodePrincipal);
    openLinkIn(this.linkURL, "current", {
        charset: doc.characterSet,
        referrerURI: doc.documentURIObject //<----------------
    });
},

    Évidemment, userscripts ne sont pas autorisés à modifier le menu contextuel de la mise en œuvre, de sorte que le seul moyen de sortir est une extension de navigateur.

    (Ou, ce qui serait une assez mauvaise hack, désactiver le menu contextuel en appelant preventDefault() sur le contextmenu de l'événement, et d'utiliser votre propre menu contextuel personnalisé)

    • Le openLinkIn mise en œuvre peut être trouvé dans utilityOverlay.js
    • En fait, vous avez peu de chance de tromper le contextmenu, depuis le "copier dans le presse-papiers" commande utilise une autre méthode pour obtenir l'URL, ignorant this.linkURL.
    • Juste creusée par le biais de vos ressources liées. Il ne semble pas être possible de mettre en œuvre un refferer-en cachette, sans effets secondaires. Si personne ne l'postes alternative ,le bounty est le vôtre.
    InformationsquelleAutor user123444555621
  8. 1

    Un très complet (mais court) analyse peut être trouvé à:

    http://lincolnloop.com/blog/2012/jun/27/referrer-blocking-hard/

    cet article analyse les deux méthodes expliquées dans d'autres réponses (méthode js, iframe redirection) et, enfin, proposer une médiation de redirecteur de la page d'approche, comme celle que l'on voit dans la recherche google, liens.

    • Merci pour la réponse. Malheureusement, le blog que mentionne options. En outre, littéralement toutes les solutions possibles dans le billet de blog est déjà abordé ici: , noreferrer sur Github et iframe de routage. Le "Compromis de convivialité" solution repose sur la création d'un laid URL de redirection - exactement ce que je voulais éviter.
    InformationsquelleAutor Amir Ali Akbari
  9. 0

    J'ai mis en place un simple mais efficace iframe solution à l'aide de jquery.

    https://jsfiddle.net/skibulk/0oebphet/

    (function($){
  var f = $('<iframe src="about:blank" style="display: none !important;">').appendTo('body');
  $('a[rel~=noreferrer]').click(function(event){
    var a = $(event.target.outerHTML);
    a.appendTo(f.contents().find('body'));
    a[0].click();
    return false;
  });
})(jQuery);
    InformationsquelleAutor skibulk
  10. -2

    que si nous soumettre un FORMULAIRE à l'aide de JavaScript, de cette façon il n'y aura pas de référent.

    document.form_name.submit()

    fondamentalement, nous soumettre un formulaire avec désiré ACTION méthode.

    • Ne fonctionne pas. visitez le site jsfiddle.net/Bp52M/show/1 (source et le type document.referrer dans la console. Vous verrez que le référent est toujours disponible.
    InformationsquelleAutor highwingers