我可以依赖Referer HTTP 标头吗？

Question

我可以在我的 Web 应用程序中依赖 Referer HTTP 标头吗？我想检查用户是否来自特定的域/网页，如果是，则相应地更改我的网站布局。

我知道人们可以在浏览器中禁用Referer。任何想法用户多久这样做一次？我可以依靠Referer 出现在 99% 中吗？

Answer 1

作为一般规则，您应该在任何重要的事情上信任 HTTP 引荐来源标头，除了对访问者身份的纯粹信息统计分析或在寻找用户行为模式时您自己的网站。

在任何情况下都不建议将此标头用于 AAA（身份验证、授权和计费），除非如上所述，您认为计费是对访问者行为的简单流量分析。

Common Weakness Enumeration 将此弱点列为CWE-293: Using Referer Field for Authentication：

HTTP 请求中的 referer 字段很容易修改，因此不是一种有效的消息完整性检查方法。

不信任Referer Header的其他一些更具体的原因包括：

• 通常，当从 HTTP HTTPS (TLS) 连接“链接”时，大多数标准 Web 浏览器不会通知此标头。

• 出于隐私原因，许多公司代理配置为删除/剥离此标头，因此即使 Web 浏览器发送此标头，公司代理软件也可能将其删除。

• 众所周知，安全解决方案、恶意软件、嵌入到应用程序中的浏览器...会修改和/或欺骗此标头的内容。

请注意：

• 当从 HTTPS “链接”到 HTTPS 时，即使更改域名或网络地址目标，大多数标准 Web 浏览器也会通知此标头。

Answer 2

只要你在没有可用值时有一个合理的默认行为，并且你没有基于它做任何敏感的事情，它可能没问题。

恶意用户可以将该标头设置为他们想要的任何内容。我希望大多数用户不会修改其浏览器的默认行为，因此它可能在大多数情况下都存在且准确。

在某些情况下，在 HTTPS 和 HTTP 之间切换可能会导致无法发送 referer 标头。