gpt4 book ai didi

http-headers - 我可以依赖 Referer HTTP header 吗?

转载 作者:行者123 更新时间:2023-12-03 07:50:53 24 4
gpt4 key购买 nike

我可以依靠Referer我的 Web 应用程序中的 HTTP header ?我想检查用户是否来自特定域/网页,如果他或她来自特定域/网页,则相应地更改我网站的布局。

我知道人们可以禁用 Referer在他们的浏览器中。知道用户多久这样做一次吗?我可以依靠Referer 99% 都存在?

最佳答案

作为一般规则,您不应该相信 HTTP Referer Header 的任何重要事项,除了纯粹的信息统计分析您的访问者是谁或在您自己网站的用户中寻找行为模式时。

在任何情况下都不建议您将此 header 用于 AAA(身份验证、授权和计费),除非如上所述,您将计费视为访问者行为的简单流量分析。

常见弱点枚举将此弱点列为 CWE-293: Using Referer Field for Authentication :

The referer field in HTTP requests can be easily modified and, as such, is not a valid means of message integrity checking.



不信任 Referer Header 的其他一些更具体的原因包括:
  • 通常,当从 HTTP <-> HTTPS (TLS) 连接“链接”时,大多数标准 Web 浏览器不会通知此 header 。
  • 出于隐私原因,许多公司代理都配置为删除/剥离此 header ,因此即使 Web 浏览器发送此 header ,公司代理软件也可能将其删除。
  • 在野外安全解决方案中,恶意软件、嵌入到应用程序中的浏览器……众所周知会修改和/或欺骗此 header 的内容。

  • 请注意:
  • 当从 HTTPS“链接”到 HTTPS 时,即使更改域名或网络地址目标,大多数标准 Web 浏览器也会通知此 header 。
  • 关于http-headers - 我可以依赖 Referer HTTP header 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8319862/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com