【发布时间】:2011-08-26 19:21:47
【问题描述】:
我需要检查并记录访问者访问我的 Web 应用程序的引荐来源网址。使用HTTP_REFERER 的可靠性如何?还有其他选择吗?
【问题讨论】:
标签: http-referer
【发布时间】:2011-08-26 19:21:47
【问题描述】:
使用HTTP_REFERER 不可靠,它的值取决于浏览器或客户端应用程序向服务器发送的HTTP Referer 标头,因此不能被信任,因为它可以被操纵。
关于Referer 标头,15.1.2 of RFC2616 部分指出:
因此,应用程序应该提供 尽可能多地控制这些信息 尽可能向其提供者 信息。
和
我们建议,但不要求, 一个方便的切换界面是 提供给用户启用或 禁用发送 From 和 推荐人信息。
许多在线隐私工具破坏了此值,并且许多浏览器(例如 FireFox)长期以来一直允许用户阻止发送此标头。所以简而言之,我不会为了任何严肃的目的而依赖它。例如,保护表单以使路过的垃圾邮件发送者无法发布值,因为 Referer 可以被欺骗。
更多阅读请看:
Using referer field for authentication or authorization (WayBackMachine)
【讨论】:
-
同意推荐人不可靠也不安全,但相信我,它在减少垃圾邮件方面做得很好。
-
最后一个链接失效了。
-
@danrah - 已修复。但是,如果您发现死链接,请查看它们是否在 WayBackMachine (archive.org) 上,然后使用该页面的最新可用存档副本更新帖子。