【发布时间】:2010-10-10 04:28:21
【问题描述】:
我的服务可能会使用引用信息来判断请求是从哪个网站完成的,我想确保无法伪造引用信息。
【问题讨论】:
标签: referrer
【发布时间】:2010-10-10 04:28:21
【问题描述】:
引荐来源网址很容易被欺骗。
使用引荐来源网址作为验证方法是非常不可靠的。
有一个名为 refspoof 的 firefox 插件可以很容易地做到这一点。
甚至像 wget 这样的命令行工具也有执行此操作的选项:--referer=url
【讨论】:
It is possible。您无法阻止浏览器伪造该数据。
【讨论】:
有很多方法可以伪造客户端发送的任何信息。接受客户信息的最基本规则是:不要信任客户。
曾经。
浏览器可以伪造他们的 User-Agent 字符串和引荐来源网址(正确的拼写,PHP 函数是最多产的永久错字)。
【讨论】:
-
其实这个错字的原始来源是在 HTTP 规范中。不能把这归咎于 PHP。
-
这是一个带有错字的 HTTP 规范链接。 -- w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.36
-
@Asaph,认真的吗?我从来没有真正想过要检查 past PHP 的错字。那些年来诅咒错误的……天哪,我现在觉得自己很傻吗。 =/
-
是的...... HTTP 规范是一个可怕的提醒,在确定之前要仔细检查所有内容。现在我不知道怎么拼这个该死的词了,因为我永远记不住哪个是哪个!
它很容易被欺骗,所以我不会在任何重要的事情上依赖它。
【讨论】:
客户端可以随意向您发送它想要的任何数据。你不应该相信浏览器发送的内容。
【讨论】: