WEB安全防护相关响应头（下）

网友投稿 626 2022-05-30

前篇“WEB安全防护相关响应头（上）”中，我们分享了 X-Frame-Options、X-Content-Type-Options、HTTP Strict Transport Security (HSTS) 等安全响应头的内容。下文中，我们则侧重介绍一些和跨站安全相关的响应头——

一、Referrer-Policy – 不要问我从哪里来

“互联网”这个词，顾名思义，“互联”才有意义。我们看到的一个常规页面，往往是先加载父级页面，父级页面再加载其他的子资源（如图片、JS 文件和各种多媒体文件等）；主页面上通常还有各种链接，点击会跳转到其他内容；另外，通过等标签，还可以把第三方页面嵌入在父级页面里直接显示出来。这些都是内容之间“互联”的体现。</p><p>▲图1 一些做得好的 <iframe> 会和主页面融为一体，如右侧</p><p>在 HTTP 协议里，如果【A资源】发起了对【B资源】的互联请求，表明该请求来自【A资源】的信息会体现在【B资源】的「referer」请求头里。【B资源】就能明确知道发起方是【A资源】。只要是引用关系或者互联关系的请求，浏览器都会自动附加这个「referer」请求头，以标明发起端是谁。</p><p>这个请求头的本意，是让网站管理者更容易得知 HTTP 访问的来源。但人们逐渐认识到这个请求头有可能暴露使用者的隐私。譬如【A资源】当前的 URL 里，如果包含了比较敏感的用户名、权限和会话等信息；只要捕获【B资源】的「referer」请求头，就有可能获得用户在【A资源】里的敏感信息。</p><p>出于对保护隐私的考虑，Firefox 和 Chrome 等浏览器引入了一套更精确控制浏览器如何发送「referer」请求头的机制，名叫「Referrer-Policy」。支持这套机制的浏览器，会根据具体情况决定是否发送「referer」请求头。但值得注意的是：微软系列的浏览器IE和Edge都不支持这个机制。</p><p>使用以下几种方式，可以加载和设定不同的「Referrer-Policy」策略：</p><p>方法一:</p><p>从 WEB <a target="_blank" href="https://www.huoban.com/news/tags-8120.html"style="font-weight:bold;">服务器端</a>，整体地返回 Referrer-Policy 响应头：</p><p>#Nginx配置： add_header Referrer-Policy "no-referrer" always; #Apache配置： Header always set Referrer-Policy "same-origin"</p><p>方法二:</p><p>对整个页面添加一个名为"referrer"的新 meta 值，类似：</p><p><meta name="referrer" content="origin"></p><p>方法三:</p><p>给页面内某个标签，如下例中的 <a> 链接标签和 <img> 图片加载标签，增加一个 referrerpolicy 属性：</p><p><a href="http://example.com" referrerpolicy="origin"> <img src="https://www.huoban.com/news/zb_users/upload/2022/05/20220530203641_63170.png" referrerpolicy="no-referrer"></p><p>可以看出，以上三种方式的生效范围各有差异，分别对应整站起效、特定页面起效及设置特定标签起效，可以根据具体情况使用。</p><p>这个策略可以配置为以下值，含义分别为：</p><p>no-referrer</p><p>任何情况下，浏览器都不发送 HTTP referer 请求头；</p><p>no-referrer-when-downgrade</p><p>如果浏览器从 HTTPS 类型的 URL 跳转到 HTTP 类型的 URL，浏览器就不需要发送 referer 请求头；</p><p>same-origin</p><p>只有发起端和目标端是同源时，浏览器才发送 referer 请求头。域名和协议完全相同，两个站点才是同源站点；</p><p>origin</p><p>浏览器会发送 referer 请求头，但 referer 请求头里只有发起方的域名信息，没有完整的 URL 路径。如发起端 URL 为 https://example.com/page.html，实际发送的 referer 请求头里只有 https://example.com/；</p><p>strict-origin</p><p>和 origin 含义相似，且只有同等安全级别的协议才发送 referer 请求头，如从 HTTPS→HTTPS 会发送，而从 HTTPS→HTTP 则不发送；</p><p>origin-when-cross-origin</p><p>对同源的其他资源，发送包含完整 URL 的 referer 请求头；如果是非同源的资源，则 referer 请求头里只有域名信息，没有完整 URL；</p><p>strict-origin-when-cross-origin</p><p>和上一条类似，但协议的安全等级降低时就不发送 referer 请求头了；</p><p>unsafe-url</p><p>无论是否同源，都发送完整 URL 的 referer 请求头。</p><p>举例：在我们的测试页面 http://www.sandbox.com/index.html 里，包含外站图片 http://img.tcxa.com.cn/logo.png 。默认在没有其他设置的情况下，发往该图片的请求如下图，其中的 Referer 请求头里清晰地包含了父级页面的地址：http://www.sandbox.com/index.html</p><p>▲图2 正常状态下图片访问带referer请求头</p><p>如果 www.sandbox.com <a target="_blank" href="https://www.huoban.com/news/tags-16.html"style="font-weight:bold;">服务器</a>的 Nginx 配置内，加入 add_headerReferrer-Policy"same-origin"always; ，设定只有同源站点才发送 Referer 请求头。这时候，访问 http://www.sandbox.com/index.html 获得的响应头里，就增加了一行 Referrer-Policy:same-origin 的响应头，如下：</p><p>▲图3 父资源的Referrer-Policy设置为same-origin同源</p><p>这时候，由于和发起端 www.sandbox.com 的域名并不同源，如下图所示，可以看出，发往 http://img.tcxa.com.cn/logo.png 图片的请求此时已不再出现 Referer 请求头了：</p><p>▲图4 子资源的请求里不再包含Referer请求头</p><p>二、X-XSS-Protection – 跨站边界保护</p><p>XSS 的全称是 Cross Site Scripting，中文叫“跨站脚本攻击”。其中“脚本”一词，主要指 <a target="_blank" href="https://www.huoban.com/news/tags-1107.html"style="font-weight:bold;">javaScript</a> 脚本。JavaScript 脚本在多年的进化中，使用越来越灵活，功能越来越强大，这也导致人们原本不太在意的浏览器客户端安全，变得越来越重要了。</p><p>现在的 JavaScript 脚本，不但可以访问和操控页面上的 DOM 元素，还可以和服务器端进行交互，故而它带来的安全隐患也不容忽视。为了“缓解”这一问题，浏览器厂商们做了一定的努力，其中一种机制就是 X-XSS-Protection 响应头。支持这一响应头的浏览器，在检测到跨站脚本攻击 (XSS)时，可以主动停止加载页面。</p><p>这个响应头有以下四种值：</p><p>X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri></p><p>这四个值的含义分别为：</p><p>0 ：禁用对页面的 XSS 过滤功能；</p><p>1 ：启用对页面的 XSS 过滤功能，这也是浏览器默认的处理（不需要做任何配置，就是这个选项）。如果发现有 XSS 风险的代码，浏览器就自动清理页面，去除这部分有危害的代码；</p><p>1;mode=block ：启用对页面的 XSS 过滤功能，但在发现 XSS 风险时，会直接屏蔽整个页面的展示，而不是只去除有风险部分；</p><p>1;report=<reporting-URI> ：启用对页面的 XSS 过滤功能，如果发现有 XSS 风险的代码，浏览器就自动清理页面，去除这部分有危害的代码，同时，把有问题的事件缘由提交给指定的 URL。</p><p>我们用 DVWA 的跨站演示页面，来分别展示一下，响应头设置为上述几个不同值时，对应的不同效果。</p><p>以下三次测试，都是提交了完全一样的请求：</p><p>http://dvwa站点IP/vulnerabilities/xss_r/?name=<script>alert(document.cookie)</script></p><p>测试一</p><p>设置 X-XSS-Protection:0。</p><p>在 X-XSS-Protection:0 时，浏览器直接执行了有问题的网页端代码，所以，提交的内容里的 JavaScript 代码能成功执行，在浏览器里看到了弹窗效果，弹窗内容为浏览器访问当前网站的 Cookie 值，参见图5。这种设置仅适用于安全渗透测试练手，以及希望准确评估网站安全风险代码时使用。</p><p>▲图5 JavaScript代码执行成功，看到弹窗</p><p>测试二</p><p>设置 X-XSS-Protection:1。</p><p>这是默认设置。也就是说，如果服务器端完全没有返回过 X-XSS-Protection 响应头，浏览器就认为服务器端返回的是 X-XSS-Protection:1 。这时候，浏览器会根据自己的内部过滤原则，直接无视它认为有问题的那部分代码，自动跳过这部分代码（这部分内容根本不会发给服务器端），最终我们看到的是“清理”后的效果：</p><p>▲图6 JavaScript代码没有执行成功，没有弹窗</p><p>测试三</p><p>设置 X-XSS-Protection:1;mode=block。</p><p>这是最严厉的设置。这时候，浏览器会根据自己的内部过滤原则，发现有问题代码，直接就拒绝显示该页面，这次提交也不会被发往服务器端，效果如图：</p><p>▲图7 整个页面都无法显示了</p><p>以上三种设置，可以根据具体的需求做选择。</p><p>如果需要在服务器端设置这个响应头，可以在合适的范围内，加入以下指令：</p><p>#Nginx配置： add_header X-XSS-Protection "1; mode=block" always; #Apache配置： Header always set X-XSS-Protection "1; mode=block"</p><p>那么，是不是我们只要给服务器设置好这个响应头，就能彻底解决跨站脚本攻击的问题呢？答案有点令人丧气：并不一定！这个机制的定位仅仅是“缓解”跨站脚本攻击，它不是一颗银子弹，无法就此高枕无忧了。一方面，跨站脚本攻击有非常多的变型手法和实现，业界公认没法完全通过黑名单规则来彻底过滤跨站——要彻底防护跨站脚本攻击，就几乎需要抵触互联网的“互联”本质。所以，X-XSS-Protection 的机制，也只是对跨站脚本攻击的部分防护。</p><p>要对客户端进行更细粒度更有效的安全防护，目前更建议使用的机制是 CSP (Content Security Policy)。这个又需要一篇独立的文档来介绍了，敬请期待。</p><p>（朱筱丹 | 天存信息）</p><p>Ref</p><p>‘Referrer Policy’ - Editor’s Draft, 20 April 2017</p><p>‘Referrer-Policy’ - developer.mozilla</p><p>‘X-XSS-Protection’ - developer.mozilla</p><p>The Misunderstood X-XSS-Protection</p><p>HTML HTTP web前端运维通用安全</p><p> <strong>版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。</strong> </p></div> <div class="article_footer clear"> <div class="fr tag">标签：<a href="https://www.huoban.com/news/tags-8120.html">服务器端</a> <a href="https://www.huoban.com/news/tags-1107.html">javaScript</a> <a href="https://www.huoban.com/news/tags-16.html">服务器</a> </div> <div class="bdsharebuttonbox fl share"> <div class="share-widget fl"> <div class="social-share" data-sites="wechat,weibo, qq, qzone"></div> </div> </div> </div>  <div class="post-navigation clear"> <div class="post-previous fl"> <span>上一篇:</span><a href="https://www.huoban.com/news/post/18302.html">分享 | 撞坏遥控车后，有个技术大牛爸爸是种怎样的体验</a> </div> <div class="post-next fr"> <span>下一篇:</span><a href="https://www.huoban.com/news/post/18304.html">InteliJ IDEA常用插件推荐</a> </div> </div> </div> <div class="related_article"> <div class="box_title clear"> <span><i class="icon fa fa-paper-plane"></i>相关文章</span> </div> <div class="related_list clear"> <article class="fl"> <div class="related_img"><a href="https://www.huoban.com/news/post/75008.html"><img src="https://www.huoban.com/news/zb_users/cache/ly_autoimg/n/NzUwMDg.jpg"></a></div> <div class="related_detail"> <h3><a href="https://www.huoban.com/news/post/75008.html" title="我的云文档怎么没有了（我的云文档怎么找）">我的云文档怎么没有了（我的云文档怎么找）</a></h3> <div class="meta"> <span><i class="fa fa-eye"></i>626</span> <span><i class="fa fa-clock-o"></i>2022-05-30</span> </div> </div> </article> <article class="fl"> <div class="related_img"><a href="https://www.huoban.com/news/post/72804.html"><img src="https://www.huoban.com/news/zb_users/cache/ly_autoimg/n/NzI4MDQ.jpg"></a></div> <div class="related_detail"> <h3><a href="https://www.huoban.com/news/post/72804.html" title="今天一直打不开云文档是怎么一回事，老是显示没网，网络不稳定，">今天一直打不开云文档是怎么一回事，老是显示没网，网络不稳定，</a></h3> <div class="meta"> <span><i class="fa fa-eye"></i>626</span> <span><i class="fa fa-clock-o"></i>2022-05-30</span> </div> </div> </article> <article class="fl"> <div class="related_img"><a href="https://www.huoban.com/news/post/72272.html"><img src="https://www.huoban.com/news/zb_users/cache/ly_autoimg/n/NzIyNzI.jpg"></a></div> <div class="related_detail"> <h3><a href="https://www.huoban.com/news/post/72272.html" title="网络通畅情况下，无法连接到云端（无法连接云端什么意思）">网络通畅情况下，无法连接到云端（无法连接云端什么意思）</a></h3> <div class="meta"> <span><i class="fa fa-eye"></i>626</span> <span><i class="fa fa-clock-o"></i>2022-05-30</span> </div> </div> </article> </div> </div>  </div> </div> <div class="sidebar"> <div id="推荐文章" class="part clear 推荐文章"> <div class="top"> <h3 class="title">推荐文章</h3> </div> <div class="side 推荐文章"><ul><ul class="hot_posts"> <li><h4><a href="https://www.huoban.com/news/post/132763.html" title="企业生产管理是什么，企业生产管理软件">企业生产管理是什么，企业生产管理软件</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/136160.html" title="盘点进销存软件排行榜前十名">进盘点进销存软件排行榜前十名</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132779.html" title="进销存系统哪个简单好用？进销存系统优点">进销存系统哪个简单好用？进销存系统优点</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/133648.html" title="工厂生产管理（工厂生产管理流程及制度）">工厂生产管理（工厂生产管理流程及制度）</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132780.html" title="生产管理软件，机械制造业生产管理，制造业生产过程管理软件">生产管理软件，机械制造业生产管理，制造业生产过程管理软件</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132776.html" title="进销存软件和ERP有什么区别？进销存与erp软件理解">进销存软件和ERP有什么区别？进销存与erp软件理解</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132974.html" title="进销存如何进行库存管理">进销存如何进行库存管理</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132269.html" title="excel销售订单管理系统（销售订单录入系统）">如何利用excel制作销售订单管理系统？</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/136946.html" title="数据库订单管理系统有哪些功能？数据库订单管理系统怎么设计？">数据库订单管理系统有哪些功能？数据库订单管理系统怎么设计？</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/132312.html" title="数据库订单管理系统（订单系统数据流图）">什么是数据库管理系统？</a></h4></li></ul></ul></div> </div> <div id="divPrevious" class="part clear previous"> <div class="top"> <h3 class="title">最近发表</h3> </div> <div class="side divPrevious"><ul><li><a title="云呼叫中心系统搭建的关键步骤与最佳实践探讨" href="https://www.huoban.com/news/post/157339.html">云呼叫中心系统搭建的关键步骤与最佳实践探讨</a></li> <li><a title="呼叫中心客服系统搭建的关键要素与优化策略探讨" href="https://www.huoban.com/news/post/157338.html">呼叫中心客服系统搭建的关键要素与优化策略探讨</a></li> <li><a title="进销存管理如何推动企业在竞争中脱颖而出" href="https://www.huoban.com/news/post/157337.html">进销存管理如何推动企业在竞争中脱颖而出</a></li> <li><a title="在线excel表格助力企业高效管理与数据分析的未来趋势" href="https://www.huoban.com/news/post/157336.html">在线excel表格助力企业高效管理与数据分析的未来趋势</a></li> <li><a title="搭建邮箱系统的意义与方法解析，提升效率与安全性" href="https://www.huoban.com/news/post/157335.html">搭建邮箱系统的意义与方法解析，提升效率与安全性</a></li> <li><a title="在线教育平台系统搭建的关键要素与未来发展前景探讨" href="https://www.huoban.com/news/post/157334.html">在线教育平台系统搭建的关键要素与未来发展前景探讨</a></li> <li><a title="搭建电话系统的关键要素与现代科技的完美结合" href="https://www.huoban.com/news/post/157333.html">搭建电话系统的关键要素与现代科技的完美结合</a></li> <li><a title="支付系统开发搭建的挑战与AI技术的应用探索" href="https://www.huoban.com/news/post/157332.html">支付系统开发搭建的挑战与AI技术的应用探索</a></li> <li><a title="零代码项目管理如何在企业转型中发挥关键作用" href="https://www.huoban.com/news/post/157331.html">零代码项目管理如何在企业转型中发挥关键作用</a></li> <li><a title="企业邮件系统搭建的关键要素与效率提升策略探讨" href="https://www.huoban.com/news/post/157330.html">企业邮件系统搭建的关键要素与效率提升策略探讨</a></li> </ul></div> </div> <div id="sidebar_ad" class="part clear sidebar_ad"> <div class="part sidebar_ad"><div class="active"><a href='https://mrhnug.r.huobanbot.com/wxwork/pub/landings/426?app_id=1960&company_id=54&corp_id=wwbd4b7b6e7b0ccdaa&app_company_id=1' target='_blank'><img style='width:100%;height:100%' src='https://www.huoban.com/news/zb_users/upload/2023/08/erwei3.jpg'></a><br> <a href='https://www.huoban.com/crm.html?utm=jiasouadv' target='_blank'><img style='width:100%;height:100%' src='https://www.huoban.com/news/zb_users/upload/2023/03/20230321171645167939020583758.png'></a><br> </div></div> </div> <div id="hot_posts" class="part clear hot_posts"> <div class="top"> <h3 class="title">热评文章</h3> </div> <ul class="hot_posts"><li><h4><a href="https://www.huoban.com/news/post/104011.html" title="零代码开发是什么？2022低代码平台排行榜">零代码开发是什么？2022低代码平台排行榜</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/131019.html" title="智能进销存库存管理系统（智慧进销存）">智能进销存库存管理系统（智慧进销存）</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/73907.html" title="在线文档哪家强？8款在线文档编辑软件推荐">在线文档哪家强？8款在线文档编辑软件推荐</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/102663.html" title="WPS2016怎么绘制简单的价格表?">WPS2016怎么绘制简单的价格表?</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/55539.html" title="连锁餐饮管理系统的功能有哪些？餐饮服务系统的构成及工作程序">连锁餐饮管理系统的功能有哪些？餐饮服务系统的构成及工</a></h4></li><li><h4><a href="https://www.huoban.com/news/post/145308.html" title="Excel项目进度表模板，简化您的项目进度管理">Excel项目进度表模板，简化您的项目进度管理</a></h4></li></ul> </div> <div id="divLinkage" class="part clear link"> <div class="top"> <h3 class="title">友情链接</h3> </div> <div class="side divLinkage"><ul><li class="link-item"><a href="https://www.huoban.com/" target="_blank" title="伙伴云">伙伴云</a></li><li class="link-item"><a href="https://www.huoban.com/news/category-19.html" title="进销存管理">进销存管理</a></li><li class="link-item"><a href="https://www.huoban.com/news/category-3.html" title="低代码">低代码</a></li><li class="link-item"><a href="https://www.huoban.com/news/tags-12.html" target="_blank" title="Excel表格">Excel表格</a></li></ul></div> </div> </div> </div> </section> </div> <footer class="p-footer"> <div class="contant_box"> <div class="discover_tmt"> <h5 class="">伙伴云</h5> <div class="text_box"> <a href="https://jiasou.cn/" title="2B数字化营销SEO">加搜toBSEO</a> <a href="https://www.eulee.cn/article/" title="三维数据引擎">产业元宇宙资讯</a> <a href="https://www.weiling.cn/info/" title="客户营销管理资讯中心">卫瓴CRM资讯</a> <a href="https://www.zkj.com/news/" title="外呼系统新闻资讯中心">外呼系统资讯</a> <a href="https://www.finclip.com/news/category-1.html" title="小程序工具">前端框架</a> <a href="https://www.jia-ai.com/info/" title="小红书营销攻略">小红书营销攻略</a> <a href="http://www.weihusm.com/" title="阿伟常识网">阿伟常识网</a> <a href="http://www.ruishiqiba.com/" title="懂球帝旅游网">懂球帝旅游网</a> </div> </div> <div class="collaboration_box"> </div> <div class="we_img_box clear"> <div class="img_box"> <img src="https://www.huoban.com/news/zb_users/theme/zblog5_news/image/ewm.png" alt="" class="hover_tmt"> </div> </div> </div> <p class="info"> <a href="https://beian.miit.gov.cn" target="_blank" rel="nofollow">京ICP备12038259号</a> <span> <a href="#"></a></span> </p> </footer> <div id="backtop" class="backtop"> <div class="bt-box top"> <i class="fa fa-angle-up fa-2x"></i> </div> </div> <script charset="UTF-8" src="https://www.huoban.com/assets/js/sensorsdata.1.22.2.min.js"></script> <script charset="UTF-8"> var sensors = window['sensorsDataAnalytic201505']; sensors.init({ server_url: 'https://saapi.huoban.com/sa?project=production', heatmap:{scroll_notice_map:'not_collect'}, use_client_time:true, send_type:'beacon' }); sensors.quick('autoTrack'); </script> <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?6444c045836d6bf27124085a4f62c2a8"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> <script> (()=>{const e="https://analyze.jiasou.cc/api/v1/page_view/report/",n="9fe06d4884e0461caaa1de5651164d43";let t=null;const o=new Proxy({},{get:(e,n)=>localStorage.getItem(window.btoa(n)),set:(e,n,t)=>!!t&&(localStorage.setItem(window.btoa(n),t),!0)});new Promise((t=>{if(o.fingerprint)t();else{const a=function(){var e={};if(e.userAgent=navigator.userAgent||"",e.plugins=[],navigator.plugins&&navigator.plugins.length>0)for(var n=0;n<navigator.plugins.length;n++){var t={name:navigator.plugins[n].name||"",filename:navigator.plugins[n].filename||"",description:navigator.plugins[n].description||""};e.plugins.push(t)}e.languages=navigator.languages||[navigator.language||""],e.timezone=(new Date).getTimezoneOffset(),e.screenResolution={width:window.screen.width||0,height:window.screen.height||0,pixelDepth:window.screen.pixelDepth||0,colorDepth:window.screen.colorDepth||0};var o=document.createElement("canvas").getContext("2d"),a=[],i=["monospace","sans-serif","serif"];for(n=0;n<i.length;n++){var r=i[n];o.font="12px "+r,o.measureText("abcdefghijklmnopqrstuvwxyz0123456789").width>0&&a.push(r)}return e.fonts=a,e.cookieEnabled=navigator.cookieEnabled||!1,e.localStorage=void 0!==window.localStorage,e.sessionStorage=void 0!==window.sessionStorage,e.doNotTrack="1"===navigator.doNotTrack||"1"===window.doNotTrack||"1"===navigator.msDoNotTrack||"yes"===navigator.doNotTrack,e}();fetch(`${e}u/`,{method:"POST",headers:{"Content-Type":"application/json"},body:JSON.stringify({key:n,f:window.btoa(JSON.stringify(a))})}).then((e=>{console.debug("browser fingerprint sent"),200===e.status&&e.json().then((e=>{console.debug("browser fingerprint received",e),o.fingerprint=e.fp,t()}))}))}})).then((()=>{e&&o.fingerprint&&fetch(e+`?${new URLSearchParams({token:n}).toString()}`,{method:"POST",headers:{"Content-Type":"application/json"},body:JSON.stringify({c:window.btoa(JSON.stringify({u:o.fingerprint,l:window.location.href,r:document.referrer}))})}).then((e=>{200==e.status&&e.json().then((e=>{e.track_id&&(t=e.track_id)}))}))})),window.addEventListener("beforeunload",(async n=>{t&&fetch(e+`?${new URLSearchParams({track_id:t}).toString()}`,{method:"GET",headers:{"Content-Type":"text/plain"},keepalive:!0}),n.returnValue=""}))})(); </script><script language="javascript" src="https://www.huoban.com/news/zb_users/plugin/ZF_ad/js/index.js?id=975"></script> <script language="javascript" src="https://www.huoban.com/news/zb_users/plugin/ZF_ad/js/ZF_ad__cookie.js"></script> </body> </html>