显然,请求标头可以通过客户端、任何扩展/AV/防火墙/浏览器设置等进行欺骗...
我的问题是:
网站所有者可以吗bad.com
可以创建一个 iframemywidget.php
,我会看到一个欺骗性的引用标头good.com
.
欺骗将由站点所有者(例如服务器)完成,而不是由顶部列出的实际客户端软件完成。
两点:
- 我说的是不同的引用者
good.com
而不是一个空的。
- 明显地excludeajax 请求。
- 如果确实可能 - 内容安全策略,可以是一个解决方案。但我不想将每个域添加到它的标头值中。
Thanks.
是的,不幸的是,这种可能性确实存在,并且许多“good.com”类型的网站都在努力解决这样的问题。
想象一下,由于某些原因,“good.com”有一个用于统计或其他合理目的的重定向网关。例如,这允许“good.com”测量其用户访问不同网站的次数。
现在,在“bad.com”上,用户会看到iframe
,或者只是一个以某种方式将它们导航到这样的 URL 的按钮:good.site.example/redirect?to=www.thirdparty.com
。 URL 上的该页面将用户重定向到www.thirdparty.com
以保留引用者的方式。
所以基本上是的,Referer
就安全性而言,HTTP 标头并不是需要依赖的东西。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)