HTTPリファラ

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索
HTTP
Persistence · Compression ·
HTTPS
ヘッダーフィールド
Cookie · ETag · Location ·
Referer · X-Forwarded-For ·
Strict-Transport-Security
ステータスコード
100 Continue
101 Switching Protocols
102 Processing
200 OK
201 Created
202 Accepted
203 Non-Authoritative Information
204 No Content
205 Reset Content
206 Partial Content
300 Multiple Choices
301 Moved permanently
302 Found
303 See Other
401 Unauthorized
403 Forbidden
404 Not Found
406 Not Acceptable
413 Request Entity Too Large
500 Internal Server Error
503 Service Unavailable

HTTPリファラ: HTTP referrer)あるいは単にリファラは、HTTPヘッダの1つで、インターネット上の1つのウェブページまたはリソースから見て、それにリンクしているウェブページやリソースのアドレス(通常はURLだが、より汎用的にはURIi18n化されたIRI)を指す。リファラを参照することで、どこからそのページに要求が来たのかを知ることができる。リファラをログすることでウェブサイトWebサーバで訪問者がどこから来ているかを把握でき、プロモーションやセキュリティの目的に使うことができる。リファラの活用はクロスサイトリクエストフォージェリ対策としても一般的だが、リファラが無効化されているとそのようなセキュリティ機構は働かない。リファラは一般に統計的用途に使われている。

デリファラ (dereferrer) とは、要求を起こすべくクリックされたページを目標ウェブサイトが識別できなくするため、要求から元のページ(サイト)の詳細を除去する手段である。

目次

詳細 [編集]

あるページにあるリンクをクリックして別のウェブページを訪れるとき、リファラはそのリンクが置かれているウェブページのURLである。

より一般化すると、リファラはその要求を発生させる原因となったアイテムのURLである。例えば、或るウェブページ内に画像を表示するとき、リファラはそのHTMLページのURLとなる。ウェブブラウザからWebサーバへのHTTP要求の仕様上、リファラフィールドはオプションである[1]

ほとんどのウェブサーバには全トラフィックのログがあり、ブラウザが要求毎に送信したHTTPリファラを記録している。ウェブログ解析ソフトの多くはこの情報を処理できる。リファラ情報はユーザーのプライバシーに関わる場合があるため、リファラ情報を送信しないよう設定できるブラウザもある。プロキシファイアーウォールソフトウェアにもリファラ情報をフィルタで除去できるものもあり、外部に公開していないロケーション情報を漏らさないようにできる。このことは問題を発生する要因ともなる。Webサーバはサイトの一部について、正しいリファラを送ってこないブラウザに対してアクセスをブロックしていることがある。これはディープリンクを防いだり、画像の不正使用(直リンク)を防ぐためである。プロキシソフトウェアの中にはそのサイトのトップレベルのアドレスをリファラとして与えるものがあり、ユーザーが最後に訪問したサイトを暴露することなく問題を回避できる。

最近では多くのブログはリファラ情報を公表し、あるブログにリンクしているサイトにブログ側からもリンクすることで会話を広げようとしている[要出典]。これを悪用し、スパマーのサイトへのリンクを大量に貼らせるリファラスパムが登場している。

アダルトサイトなどの有料サイトの多くはコンテンツを守る目的でリファラ情報を利用している[要出典]。すなわち、ログインしないと参照できないなどの極少数のページからのアクセスのみを許可するのである。これにより、協力関係にあるアダルトサイト間での素材の共有が容易になる。このようなサイトへのフリーなアクセスを実現する手段としてリファラスプーフィングがある。

リファラの隠蔽 [編集]

ほとんどのウェブサーバには全トラフィックのログがあり、ブラウザが要求毎に送信したHTTPリファラを記録している。このため様々なプライバシーに関わる懸念が生じ、本当のリファラURLを送信しないようにするシステムがいくつも開発された。リファラヘッダを単に空白にするものや違うデータで置き換えるものがある。一般にセキュリティソフトにはリファラデータを空白にするものが多く、ウェブベースのサーバにはURLを偽物(一般にそのサーバ自身のURL)に置き換えるものが多い。当然ながら、これによってリファラスパムの問題が生じる。両者の技術的詳細はほぼ同じである。セキュリティソフトは一種のプロキシとして動作し、HTTP要求を書き換える。ウェブベースの手法ではサーバが別のウェブサイトをロードするため、リファラURLにはそのサーバのアドレスが送られる。ウェブブラウザには、ユーザーがオプションでリファラのON/OFFができるものもある[2]

主要なブラウザでは、"Refresh" HTTPヘッダを使うよう設定するとリファラヘッダを送らなくなる。しかしW3Cではこのような手法を推奨していない[3]

refererとreferrer [編集]

本来、参照元という意味の英単語は"referrer"であるが、HTTPリファラの場合は意図的に"referer"と綴る場合がある。これは、HTTPが策定された時にヘッダ名を間違ったスペルで書いてしまい、それが今でも使われている、という歴史的経緯のためである。

前述の通り仕様上のヘッダ名は"referer"であるため、特にHTTPヘッダを直接扱うようなソフトウェアプログラムの場合、"referrer"と綴ると意図通りに動作しない場合すらある。

脚注 [編集]

  1. ^ "The Referer[sic] request-header field allows the client to specify […] the address (URI) of the resource from which the Request-URI was obtained […]" RFC 2616 § 14.36
  2. ^ Network.http.sendRefererHeader mozillaZine
  3. ^ 1.1.3 The META element HTML Techniques for Web Content Accessibility Guidelines 1.0

外部リンク [編集]

  • RFC 2616: Hypertext Transfer Protocol – HTTP/1.1
  • IRI – Internationalized Resource Identifiers
http://ja.wikipedia.org/w/index.php?title=HTTPリファラ&oldid=47270148」から取得