0

HTTP_REFERERVBScript で値を変更することはできますか? XSS 攻撃を避けるためCSRFに、リンクにデータを使用しています。しかし、ユーザーを外部の Web サイトにリンクしている場合、リンクCSRF先の Web ページでHTTP_REFERER.

そのため、目的のページにリダイレクトする中間ページを間に配置する必要があることを読みました。そこでRedirectPage.asp、URL をパラメーターとして取り、Server.Redirect. しかし、 の外部リンクをクリックするpagex.asp?CSRF...と、最終的HTTP_REFERERにキャッチされるのはpagex.asp.

私のREFERERヘッダーを「クリーンアップ」する方法はありますか?

ありがとう!!

4

1 に答える 1

1

リダイレクト ヘッダーの代わりにメタ リダイレクトを使用すると、Firefox と IE でリファラーを変更できますが、Chrome では変更できません。

ただし、SSL ページを介してリダイレクトすることにより、一貫して http_referer をクリア (変更ではなく削除) できます。

リダイレクトを回避するために、rel="noreferrer" html5 属性をサポートするブラウザーを確認し、そのような場合はそれを代わりに使用することもできます。現在、それは単なるWebkitブラウザだと思います。 http://www.whatwg.org/specs/web-apps/current-work/multipage/links.html#link-type-noreferrer

于 2013-02-18T02:28:53.610 に答える