JavaScript 能否修改 Referer 请求头

最新推荐文章于 2023-05-12 13:05:12 发布
最新推荐文章于 2023-05-12 13:05:12 发布
阅读量1w 收藏 2
点赞数 5
文章标签: css js web https javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neal1991/article/details/114609935
版权

正如题目,本文主题也很直白,主要就是围绕这个问题展开。JavaScript 能否修改 Referer 请求头?现在 JavaScript 的能力越来越强大,JavaScript 似乎无所不能,修改一个小小的 Referer 请求头似乎看来不在话下(本文讨论的 JavaScript 仅限于在浏览器中执行,不包括 Nodejs)。

其实不然,在 web 浏览器中,绝大多数浏览器都禁止了 JavaScript 直接去操作 Referfer 请求头,当然这一方面也是出于安全方面的考虑。当然除了 Referer 请求头之外,还有其它请求头也被禁止通过 JavaScript 操作。

Referer 请求头属于 Forbidden header,这种请求头无法通过程序来修改,浏览器客户端一般会禁止这种行为。以 Proxy- 和 Sec- 开头的请求头都属于 Fobidden header name,还包括以下这些请求头:

Accept-Charset
Accept-Encoding
Access-Control-Request-Headers
Access-Control-Request-Method
Connection
Content-Length
Cookie
Cookie2
Date
DNT
Expect
Feature-Policy
Host
Keep-Alive
Origin
Proxy-
Sec-
Referer
TE
Trailer
Transfer-Encoding
Upgrade
Via

可以通过一段简单的 demo 来进行验证。可以通过 Chrome 的开发者工具来进行验证,创建一个 xhr 请求,并且尝试来设置请求头。

可以看出,如果设置 content-type,浏览器没有阻止,但是如果设置 Referer 的话,浏览器则不允许,提示 Refused to set unsafe header "Referer"

得益于这一特性,其实 Referer 请求头也被用于作为 CSRF 防护的补充手段之一,如果用户是通过恶意网站来访问应用的,可以通过 Referer 请求头来进行验证。但是,因为一些浏览器兼容性的特性以及可以通过某些手段可以强制不带 Referer 请求头,所以这个方法只能作为一个补充方法来进行验证。

Reference

  • https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name

瑟荻
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javascript操作referer详细解析
10-26
本篇文章主要是对javascript操作referer进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
js修改referer 解决图片防盗链问题
xiagang567的博客
03-24 4760
 最近在项目中遇到了一个问题就是项目中需要显示其他网站上的图片,网上找了好多,但是没有一个具体的代码策略,我在这里给大家提供一个方案。 先说说防盗链的原理,http 协议中,如果从一个网页跳到另一个网页,http 字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。 如果盗用网站是 https 的 protocol,而图片链接是 http ...
js 伪造referer_javascript操作referer方法探讨
weixin_35953401的博客
01-13 1731
介绍正式内容前,先说说referrer的重要性。http请求中有一个referer的报文,用来指明当前流量的来源参考页。例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了。在javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就...
使用 js WinHttpRequest 修改伪造 Referer (附实战代码)
热门推荐
arrow_gx的专栏
03-02 1万+
【转】使用 js WinHttpRequest 修改伪造 Referer (附实战代码) 首先说明,伪造访问来路不是什么光明正大的事情,目的就是为了欺骗服务器。原本以为给 XMLHTTP 对象增加一个 Referer 的header 就可以,结果却没有任何作用,改用 ServerXMLHTTP 也如此。 无意间发现公司内部项目使用的 paypal 扣款程序里面有 W
篡改referer_HTTP协议REFERER用法及伪造
weixin_36472962的博客
12-24 4396
1》Refere定义Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,信息里有包含Referer。比如我在www.xxxx.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:Referer=https://www.xxxx.com信息2>Refere作用...
Vue使用proxy提示 “Refused to set unsafe header “Referer“”
前端小白-Mr鹏帅
03-05 1万+
在调用另一个源节点接口的时候,报错提示“Refused to set unsafe header "Referer" 报错信息 经过查询发现是因为浏览器拒绝人为设置伪装的referer 正巧不巧,在用vue的proxy来进行跨域处理,由此记录一下用法。 这是在调用axios的方法 method:'post', url:"/api/v1/home/page", headers:{ 'Content-Type':'application/x-www-form-ur
xhr Error: Refused to set unsafe header “Referer“ - 在 axios 中试图修改 Headers 的 Referer
最新发布
x_chengqq
05-12 2799
浏览器拒绝人为设置伪装的Headers Referer
js -Referer与XMLHTTPRequst
weixin_53289828的博客
01-10 1418
js -Referer与XMLHTTPRequst
安全基础第二天:http的header和referrer
weixin_62870380的博客
02-28 1万+
form表单、iframe、referrer、防盗链以及其图片绕过、burpsite抓包的请求部详解、cookie和session的关系、同源和跨域。
referer-mod:Web Extension修改HTTP请求中的Referer
04-29
Referer Modifier是Firefox的Web扩展,用于修改HTTP请求中的Referer和匹配的Javascript document.referrer属性。 对于每个目标域,可以配置以下五个操作之一: 保留:请勿修改引荐来源网址 修剪:仅发送引荐...
解决js下referer兼容各大浏览器的方法
12-11
HTTP Header referer这玩意主要是告诉人们我是从哪儿来的,就是告诉人家我是从哪个页面过来的,可以用于统计访问本网站的用户来源,也可以用来防盗链。获取这个东西最好的方式是js,如果在服务器端获取(PHP方法如:$_SERVER[‘HTTP_REFERER’]) 不靠谱,人家可以伪造,用js获取最好,人家很难伪造, 方法:利用js的 document.referer 方法可以准确地判断网页的真实来路。 目前百度统计,google ads统计,CNZZ统计,都是用的这个方法。防盗链也很简单了,js里判断来路url如果不是本站不显示图片。 众所周知,我们web开发人员痛恨IE浏览器,因
通过修改referer下载文件的方法
09-06
标题中的“通过修改referer下载文件的方法”指的是在HTTP请求中,通过设置请求中的`Referer`字段来伪装来源页面,从而实现特定的文件下载需求。`Referer`通常用于服务器追踪用户从哪个页面访问当前请求的资源,...
常见请求和响应-说明.docx
04-23
17. If-Modified-Since: 如果请求的部分在指定时间之后被修改请求成功,未被修改则返回 304 码,例如 If-Modified-Since: Sat, 29 Oct 2010 19:43:31 GMT。 18. If-None-Match: 如果内容未改变返回 304 码,参数...
防止伪造跨站请求
03-26
不过,有些浏览器或代理服务器可能会禁用Referer字段,因此不能单独依赖此方法。 3. **POST请求限制**:通常,CSRF攻击利用的是GET请求,因为GET请求可以被轻易地嵌入到链接或者图片中。因此,对于可能引发重大改变...
前端referer修改
xiaozhahza的博客
08-15 4017
步骤如下: 1.打开vscode编辑器,找到已安装的插件live Server插件,点击扩展设置 2.找到 liveServer>settings:port 选项,点击settings.json中编辑 3.把liveServer.settings.port设置你想要的端口号,改为3000,保存…referer为浏览器请求中的固定配置,是浏览器去电脑上去读取的。如果我们想要修改浏览器中的referer配置我们需要修改电脑系统中的hosts文件。如果我们使用的vscode我们可以在插件的配置中设置端口。...
js+referer
weixin_66218784的博客
03-28 840
以上配置中,“access_log”、“error_log”和“log_format”分别指定了访问日志、错误日志和格式,其中“main”是默认的日志格式。最后,“access_log”和“error_log”命令中使用“$log_suffix”变量来将日志文件按照年月日的格式进行分割,例如“access_2022/01/01.log”。可以使用调试面板上的控制按钮,如“Step Over”(逐行执行)、“Step Into”(进入函数)、“Step Out”(跳出函数)等,来控制程序的执行。
Referer的理解及防盗链
weixin_64311421的博客
01-09 6144
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
服务器端修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1462
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
篡改referer_HTTP_REFERER的用法及伪造
weixin_29615645的博客
12-24 2131
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改HTTP_REFERER 的功能。简言之,该值并不可信。 ”在百度百科中,对于该参数的描述如下:“HT...
axios 取消referer
04-01
Axios 无法直接取消 Referer,因为 Referer 是浏览器自动添加的部,无法在 Axios 请求中直接修改或删除。但是,可以通过设置请求的方式模拟取消 Referer,如下所示: ```javascript const axios = require('axios'); axios({ url: 'https://example.com', headers: { Referer: '' // 设置一个空字符串代替 Referer } }); ``` 这样设置之后,Axios 请求中的 Referer 就被设置为空字符串,相当于取消了 Referer。但需要注意的是,这种方式只是模拟取消 Referer,实际上浏览器仍然会自动添加 Referer 部。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值