Предположим, у меня есть страница на www.example.com/pages/page.html и page.html имеет относительный URL-адрес сценария/ссылки. Как я обычно знал, чтобы служить /pages/js/page_js.js или /pages/css/page_css.css, нужно проверить заголовок «referrer», чтобы увидеть, что это было http://www.example.com/pages. В противном случае мой относительный скрипт, который выглядит так: <script src="js/page_js.js"></script>
, фактически разрешит /js/page_js.js на моем сервере.При использовании Referrer-Header: no-referrer, как разрешать относительные URL-адреса изнутри вложенных страниц?
Ссылаясь на документацию helmet.js, есть рекомендация по безопасности, которая включает в себя блокирование браузера от отправки заголовка referrer
. Если бы я реализовал это, то тогда как я мог бы разрешить активы, не зная, к какому пути их разрешить?
Спасибо Эван. Я не игнорирую это, просто ожидая возможности проверить это и дать этому сообщению внимание, которого он заслуживает! – papiro