HTTP之referer
2016-07-16 11:09
267 查看
http://www.cnblogs.com/bukudekong/p/3829852.html
安全培训中提到可以通过referer判断安全性,hackbar中也有一个enable referer的选项,则,这个referer到底是个什么角色?
(以下是搜集的一些资料整合,链接均放到底部,不再一一注明)
1、打开httpfox抓包插件,在百度中搜索126.com,搜索项中点击网站入口,通过抓包工具,查看http请求
在http请求的Headers部分可见Referer.
Referer http://www.baidu.com/s?tn=98835442_hao_pg&ie=utf-8&f=3&wd=126.com&oq=126.&bs=126.com&rsv_bp=1&inputT=5799&rsp=0
Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问,以便网站合理定位.
Referer有时也被用作防盗链, 即下载时判断来源地址是不是在网站域名之内, 否则就不能下载或显示,很多网站,如天涯就是通过Referer页面来判断用户是否能够下载图片.
当然,对于某些恶意用户,也可能伪造Referer来获得某些权限,在设计网站时要考虑到这个问题.
还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。
但是注意不要把Rerferer用在身份验证或者其他非常重要的检查上,因为Rerferer非常容易在客户端被改变。
(火狐的一个插件RefControl修改Referer引用)
对浏览器来说,一般以下几种情况是不会发送Referer,因为可能有潜在的安全问题:
参考:
http://blog.csdn.net/mutsinghua/article/details/5187595 http://s99f.blog.163.com/blog/static/351183652009086578735/
安全培训中提到可以通过referer判断安全性,hackbar中也有一个enable referer的选项,则,这个referer到底是个什么角色?
(以下是搜集的一些资料整合,链接均放到底部,不再一一注明)
1、打开httpfox抓包插件,在百度中搜索126.com,搜索项中点击网站入口,通过抓包工具,查看http请求
在http请求的Headers部分可见Referer.
Referer http://www.baidu.com/s?tn=98835442_hao_pg&ie=utf-8&f=3&wd=126.com&oq=126.&bs=126.com&rsv_bp=1&inputT=5799&rsp=0
Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问,以便网站合理定位.
Referer有时也被用作防盗链, 即下载时判断来源地址是不是在网站域名之内, 否则就不能下载或显示,很多网站,如天涯就是通过Referer页面来判断用户是否能够下载图片.
当然,对于某些恶意用户,也可能伪造Referer来获得某些权限,在设计网站时要考虑到这个问题.
还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。
但是注意不要把Rerferer用在身份验证或者其他非常重要的检查上,因为Rerferer非常容易在客户端被改变。
(火狐的一个插件RefControl修改Referer引用)
对浏览器来说,一般以下几种情况是不会发送Referer,因为可能有潜在的安全问题:
参考:
http://blog.csdn.net/mutsinghua/article/details/5187595 http://s99f.blog.163.com/blog/static/351183652009086578735/
相关文章推荐
- Web基础之httpd服务搭建(一)
- 通过packetdrill构造的包序列理解TCP快速重传机制
- 一次web访问背后的整个过程
- 网络编程(发送get和post请求到服务器端,并获取响应)
- python多线程网络编程
- 计算机网络常见面试题总结
- TCP协议(三次握手和四次握手)
- HTTP协议
- 所有 HTTP 状态代码及其定义
- USACO 4.2.1 iSap + gap优化
- 网络最大流 相反的方向发回一个流 选取具有最少边数的路径
- RHCS集群服务 7.10
- HTTP状态码详解
- 关于TCP/IP和HTTP
- 影响Cache的几个HTTP头信息
- Http状态码详细说明
- 七、TCP C/S:socket 读写超时设置
- RxAndroid 与OkHttpClient打造下载实例
- buildJSONPacketBody数组形式封装json、JsonReader解析服务器返回值、封装对象、https协议
- OC网络封装工具