30
Tôi cần kiểm tra và ghi lại liên kết giới thiệu của khách truy cập vào ứng dụng web của tôi. Mức độ tin cậy khi sử dụng HTTP_REFERER? Và có những lựa chọn thay thế khác?HTTP_REFERER đáng tin cậy như thế nào?
A
Trả lời
40
Sử dụng HTTP_REFERER không đáng tin cậy, giá trị của nó phụ thuộc vào tiêu đề HTTP Referer do trình duyệt hoặc ứng dụng khách gửi tới máy chủ và do đó không thể tin cậy.
Về Referer tiêu đề, phần 15.1.2 of RFC2616 trạng thái:
Do đó, các ứng dụng NÊN cung cấp càng nhiều quyền kiểm soát thông tin này càng tốt để các nhà cung cấp về thông tin .
và
Chúng tôi đề nghị, mặc dù không yêu cầu, rằng một giao diện chuyển đổi thuận tiện được cung cấp cho người sử dụng để kích hoạt hoặc vô hiệu hóa việc gửi và Từ thông tin Referer.
Nhiều công cụ bảo mật trực tuyến mangle giá trị này và nhiều trình duyệt như FireFox đã từ lâu cho phép người dùng ngăn tiêu đề này được gửi. Vì vậy, trong một nutshell, tôi sẽ không dựa vào nó cho bất kỳ mục đích nghiêm trọng. Ví dụ: bảo mật biểu mẫu để người gửi spam không thể đăng giá trị vì có thể giả mạo Referer.
Để biết thêm đọc see:
Using referer field for authentication or authorization (WayBackMachine)
Các vấn đề liên quan
- 1. Ổ cắm unix miền đáng tin cậy đáng tin cậy như thế nào?
- 2. FileSystemWatcher đáng tin cậy trong .netFramwork 4 như thế nào?
- 3. Kiểm tra tệp -B đáng tin cậy như thế nào?
- 4. NSTimer thay thế đáng tin cậy
- 5. Làm thế nào để có đáng tin cậy QGLWidget chụp
- 6. Cơ sở dữ liệu h2 đáng tin cậy như thế nào?
- 7. Các tệp nhật ký truy cập amazon s3 đáng tin cậy như thế nào?
- 8. Ràng buộc không đáng tin cậy
- 9. Ổ cắm có đáng tin cậy không?
- 10. Bitbucket có đáng tin cậy không?
- 11. C# MouseMove đáng tin cậy (hop)
- 12. Win32 SetForegroundWindow không đáng tin cậy
- 13. Cửa sổ.opener có đáng tin cậy không?
- 14. In_irq() có đáng tin cậy không?
- 15. Hẹn giờ đáng tin cậy hơn System.Threading.Timer
- 16. Có phải document.cookie đáng tin cậy không?
- 17. javaFX MediaPlayer getCurrentTime() không đáng tin cậy
- 18. "AndroidAnnotaions" có đáng tin cậy không?
- 19. Kết nối đáng tin cậy là gì?
- 20. TCP vs UDP đáng tin cậy
- 21. Thông tin trình duyệt chéo đáng tin cậy trên ContentEditable
- 22. Thuộc tính .value của HTMLSelectElement đáng tin cậy
- 23. Đáng tin cậy được IPV6 Địa chỉ bằng Python
- 24. Khả năng thực thi ngẫu nhiên của javascript đáng tin cậy trong các trình duyệt khác nhau như thế nào?
- 25. Nhiệm vụ nền lặp lại đáng tin cậy trên android
- 26. Java & Windows 7: Nhận được netmask IPv4 đáng tin cậy?
- 27. MonoDroid HttpWebRequest và WebClient không đáng tin cậy?
- 28. Trình xác nhận chuỗi JSON đáng tin cậy trong Java
- 29. Hiểu WCF phiên đáng tin cậy retry hành vi
- 30. Làm thế nào để có được thời gian chèn đáng tin cậy trong Cassandra?
Đồng ý referer là không đáng tin cậy và nó không an toàn, nhưng tôi tin tưởng nó không công việc của mình khá tốt trong việc giảm thư rác. –
Liên kết cuối cùng đã chết. – danrah
@danrah - cố định. Nhưng nếu bạn tìm thấy các liên kết chết, sau đó có một cái nhìn và xem họ đang trên WayBackMachine (http://archive.org) và sau đó chỉ cần cập nhật các bài viết với bản sao lưu trữ mới nhất của trang. – Kev