Web アプリケーションへの訪問者のリファラーを確認して記録する必要があります。の使用はどの程度信頼できHTTP_REFERERますか? そして、他の選択肢はありますか?
31668 次
1 に答える
49
使用HTTP_REFERERは信頼できません。その値は、ブラウザまたはクライアント アプリケーションからサーバーに送信される HTTP ヘッダーに依存するRefererため、操作できるため信頼できません。
Refererヘッダーに関しては、RFC2616 のセクション15.1.2 に次のように記載されています。
したがって、アプリケーションは、この情報のプロバイダーに対して、この情報を可能な限り制御する必要があります。
と
必須ではありませんが、ユーザーが From および Referer 情報の送信を有効または無効にするための便利なトグル インターフェイスを提供することをお勧めします。
多くのオンライン プライバシー ツールはこの値を破壊し、FireFox などの多くのブラウザーは長い間、ユーザーがこのヘッダーの送信を防ぐことを許可してきました。一言で言えば、私は深刻な目的のためにそれに依存することはありません. たとえば、Refererなりすましの可能性があるため、ドライブバイ スパマーが値を投稿できないようにフォームを保護します。
詳細については、以下を参照してください。
認証または認可にリファラー フィールドを使用する(WayBackMachine)
于 2011-05-16T22:05:22.020 に答える