Wiem, że można uzyskać pusty HTTP_REFERER. W jakich okolicznościach to się dzieje? Jeśli otrzymam pusty, czy zawsze oznacza to, że użytkownik go zmienił? Czy otrzymanie pustego to to samo, co uzyskanie zerowego? iw jakich okolicznościach to też dostaję?
security
http
http-headers
cross-domain
http-referer
w tym samym wieku
źródło
źródło
Odpowiedzi:
Będzie / może być pusty, gdy użytkownik końcowy
źródło
HTTP_REFERER - wysyłany przez przeglądarkę, podający ostatnią stronę przeglądaną przez przeglądarkę!
Jeśli ufasz [HTTP_REFERER] z jakiegokolwiek ważnego powodu, nie powinieneś, ponieważ można to łatwo sfałszować:
Wypróbuj to rozszerzenie do Firefoksa, będziesz mógł ustawić dowolne nagłówki:
@ Mistrz świętowania:
Firefox:
rozszerzenia: refspoof , refontrol , modyfikuj nagłówki , no-referer
Całkowicie wyłącz: opcja jest dostępna w about: config pod "network.http.sendRefererHeader" i chcesz ustawić ją na 0, aby wyłączyć przekazywanie referer.
Google chrome / Chromium:
rozszerzenia: noref , spoofy , external noreferrer
Całkowicie wyłącz: Chnage ~ / .config / google-chrome / Default / Preferences lub ~ / .config / chromium / Default / Preferences i ustaw to:
Lub po prostu dodaj --no-referrers do skrótu lub w cli:
Opera:
Całkowicie wyłącz: Ustawienia> Preferencje> Zaawansowane> Sieć i odznacz „Wyślij informacje o stronie odsyłającej”
Fałszywa usługa internetowa:
http://referer.us/
Samodzielne filtrowanie proxy (fałszowanie dowolnego nagłówka):
Privoxy
Podszywanie się pod http_referer podczas korzystania z wget
„--referer = url”
Podszywanie się pod http_referer podczas używania curl
-e, --referer
Podszywanie się pod http_referer za pomocą telnetu
źródło
Some browsers limit access to not allow HTTP_REFERER to be passed
Czy mógłbyś podać przykład takiej przeglądarki i / lub rozszerzenia?Lista BalusC jest solidna. Dodatkowym sposobem, w jaki to pole często wydaje się puste, jest sytuacja, gdy użytkownik znajduje się za serwerem proxy. Jest to podobne do przebywania za zaporą ogniową, ale jest nieco inne, więc chciałem o tym wspomnieć ze względu na kompletność.
źródło
Będzie również puste, jeśli zostanie użyta nowa wersja robocza standardu referrer Policy, aby zapobiec wysyłaniu nagłówka referer do źródła żądania. Przykład:
Chociaż Chrome i Firefox wdrożyły już wersję roboczą Polityki odsyłających, należy z nią uważać, ponieważ na przykład Chrome oczekuje
no-referrer
zamiastnone
(inever
gdzieś też widziałem ).źródło
Zauważyłem, że referer przeglądarki jest naprawdę niespójny.
Na przykład element zakotwiczenia z atrybutem „download” działa zgodnie z oczekiwaniami w przeglądarce Safari i wysyła osobę odsyłającą, ale w przeglądarce Chrome strona odsyłająca będzie pusta lub w dziennikach serwera WWW będzie oznaczony „-”.
W Chrome jest uszkodzony - nie wysłano żadnego recenzenta.
źródło