security - HTTP_REFERER が空になるのはどのような場合ですか

Question

空の HTTP_REFERER を取得できることはわかっています。これはどのような状況で起こりますか？空のものを取得した場合、それは常にユーザーが変更したことを意味しますか? 空のものを取得することは、ヌルのものを取得することと同じですか? そして、どのような状況で私もそれを得るのですか?

score 311 · Accepted Answer

エンドユーザーが

score 37 · Accepted Answer

HTTP_REFERER-ブラウザから送信され、ブラウザが最後に表示したページを示します。

重要な理由で[HTTP_REFERER]を信頼している場合は、簡単に偽造される可能性があるため、信頼しないでください。

このFirefox拡張機能を試してみてください。必要なヘッダーを設定できます。

@お祝いのマスター：

Firefox：

拡張機能： refspoof、refontrol、ヘッダーの変更、リファラーなし

完全に無効にする：このオプションは「network.http.sendRefererHeader」の下のabout：configで使用可能であり、これを0に設定して、リファラーの受け渡しを無効にします。

Google chrome / Chromium：

拡張機能： noref、spoofy、external noreferrer

完全に無効にする：〜/ .config / google-chrome / Default / Preferencesまたは〜/ .config / chromium / Default / Preferencesを変更し、次のように設定します。

{
   ...
   "enable_referrers": false,
   ...
}

または、ショートカットまたはCLIに--no-referrersを追加するだけです。

google-chrome --no-referrers

オペラ：

完全に無効にする： [設定]>[設定]>[詳細設定]>[ネットワーク]を選択し、[リファラー情報を送信する]のチェックを外します

なりすましWebサービス：

http://referer.us/

スタンドアロンフィルタリングプロキシ（任意のヘッダーのなりすまし）：

Privoxy

wgetを使用するときにhttp_refererをスプーフィングする

'--referer = url' </ p>

curlを使用するときにhttp_refererをスプーフィングする

-e、-referer

http_refererwthtelnetのなりすまし

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)

score 11 · Accepted Answer

また、リファラーヘッダーがリクエスト元に送信されないようにするために、新しいリファラーポリシー標準ドラフトが使用されている場合も空になります。例：

<meta name="referrer" content="none">

no-referrerChrome と Firefox はすでにリファラーポリシーのドラフトバージョンを実装していますが、たとえば Chrome は代わりに期待するため、注意が必要ですnone(私もneverどこかで見たことがあります)。

score 9 · Accepted Answer

BalusC のリストはしっかりしています。このフィールドが頻繁に空に見えるもう 1 つの理由は、ユーザーがプロキシサーバーの背後にいる場合です。これは、ファイアウォールの背後にいる場合と似ていますが、少し異なるため、完全を期すために言及したいと思います。

5 に答える 5