HTTP之referer

http://www.cnblogs.com/bukudekong/p/3829852.html

安全培训中提到可以通过referer判断安全性，hackbar中也有一个enable referer的选项，则，这个referer到底是个什么角色？

（以下是搜集的一些资料整合，链接均放到底部，不再一一注明）

 

1、打开httpfox抓包插件，在百度中搜索126.com，搜索项中点击网站入口，通过抓包工具，查看http请求 



 

在http请求的Headers部分可见Referer.

Referer http://www.baidu.com/s?tn=98835442_hao_pg&ie=utf-8&f=3&wd=126.com&oq=126.&bs=126.com&rsv_bp=1&inputT=5799&rsp=0

 

Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问,以便网站合理定位.

Referer有时也被用作防盗链, 即下载时判断来源地址是不是在网站域名之内, 否则就不能下载或显示,很多网站,如天涯就是通过Referer页面来判断用户是否能够下载图片.

当然,对于某些恶意用户,也可能伪造Referer来获得某些权限,在设计网站时要考虑到这个问题.

还可用做电子商务网站的安全，在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站，如果不是，可能是黑客用自己写的一个表单，来提交，为了能跳过你上一页里的javascript的验证等目的。

但是注意不要把Rerferer用在身份验证或者其他非常重要的检查上，因为Rerferer非常容易在客户端被改变。 

（火狐的一个插件RefControl修改Referer引用）

对浏览器来说,一般以下几种情况是不会发送Referer,因为可能有潜在的安全问题:

　　

 

参考:
http://blog.csdn.net/mutsinghua/article/details/5187595 http://s99f.blog.163.com/blog/static/351183652009086578735/