安全架构-HTTP Referer

最新推荐文章于 2023-12-26 14:17:54 发布
最新推荐文章于 2023-12-26 14:17:54 发布
阅读量8.1k 收藏
点赞数
分类专栏: 安全架构 文章标签: http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45937199/article/details/111356935
版权
HTTP Referer是浏览器发送请求时携带的头部信息,用于指示用户是从哪个页面访问当前资源的。虽然常用于页面统计和防盗链,但因其不安全性(可被篡改),不应依赖其进行安全验证。某些场景下Referer可能为空,如HTTPS到HTTP的跳转、直接输入URL、浏览器设置修改等。因此,使用Referer时需谨慎。
摘要由CSDN通过智能技术生成

HTTP Referer

上一篇文章里介绍http防盗链主要用到http referer,本文详细介绍http referer.

文章目录

前言

HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。

一、referer释义

referer: 引用; 引用页; 推荐人; 参照页。
reference:n. 参考; 说到(或写到)的事; 提到; 谈及; 涉及; 查询; 查阅; (帮助或意见的)征求,征询;
v. 参考; 查阅; 给(书等)附参考资料;

关于HTTP Referer使用非常简单,使用场合比较多的是用于页面统计、资源防盗链等,但还是有一点值得注意的是:Referer是不安全的,客户端可以通过设置改变 Request中的值,尽量不要用来进行安全验证等方面。

二、referer可为空

Referer是不安全的&#x

最低0.47元/天 解锁文章
ctotalk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTTP Referer简介
weixin_33726943的博客
08-06 94
在百度中搜索搜狐,点击链接进去,抓包信息如下: GET http://www.sohu.com/ HTTP/1.1 Host: www.sohu.com Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.4 (KHTML, like Gecko)...
ReferrerReferrer-Policy简介
zzhongcy的专栏
06-08 4631
ReferrerReferrer-Policy简介
web漏洞与修复
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-26 1961
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。 X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。
检测到目标Referrer-Policy响应头缺失
lxyoucan的博客
07-14 3789
Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2283
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
Web应用安全HTTP协议请求报文文本.docx
06-17
HTTP基于TCP/IP通信协议,并采用客户端/服务端(C/S)架构,是一个无状态的请求/响应协议。它有三个主要特点:无连接性,使得每次连接仅处理一个请求,节省了传输时间;媒体独立性,允许任何类型的数据通过HTTP发送...
网站架构技术
10-09
固若金汤:网站的安全架构 网站应用攻击与防御 XSS攻击 反射型 持久型 防御方法 消毒 httponly 注入攻击 SQL注入攻击 攻击前提 获取数据库结构的方法 防御方法 消毒 ...
安全开发规范手册.docx
08-05
安全开发规范手册》是指导IT开发者在编程过程中遵循的安全准则,旨在预防各种安全漏洞,保护用户数据,确保系统的稳定性与可靠性。以下是手册中的主要知识点: 1. **编码安全**: - **输入验证**:这是防止恶意...
nginx-1.7z
08-13
'$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; error_log /var/log/nginx/error.log info; ``` ### 9. Nginx 高...
开源基础架构和集群最佳实践
02-27
### 开源基础架构和集群最佳实践 #### 一、测试环境准备 在开始任何实践之前,需要准备一个稳定的测试环境。根据题目中的描述,我们使用两台CentOS 6.5虚拟机作为测试平台。 ##### 1、测试环境交代 - **主机1**:...
fastify-referrer-policy:固定插件以设置Referrer-Policy HTTP标头
05-03
固定推荐人策略 固定插件以设置Referrer-Policy HTTP标头 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 此插件已通过所有测试用例。 且选项没有差异。 安装 通过npm: npm i fastify-referrer-policy 通过纱: yarn add fastify-referrer-policy 用法 const fastify = require ( 'fastify' ) ; const fastifyReferrerPolicy = require ( 'fastify-referrer-policy' ) ; const app = fastify ( ) ; app . register ( fastifyReferrerPolic
【绿盟】检测到目标Referrer-Policy响应头缺失
naansun的博客
11-19 6740
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
Referrer Policy 介绍
johnhuster的专栏
12-15 2万+
Referrer Policy 介绍
显示https不安全的原因及解决办法
热门推荐
zuo_zuo_blog的博客
07-01 5万+
很多人在部署了https证书之后,有的时候仍然会出现https“不安全”的提示,这就比较纳闷了。明明说部署了https证书会受到浏览器的信任的,怎么还会出现这种情况?安信SSL帮大家分析一下原因及解决办法。 1、https不安全的原因 一般来说网站安装了SSL证书之后不会被提示https不安全,但是会有一些情况下会出现这种现象。常见的提示https不安全的原因的原因有:SSL证书过期,一般来说免费的SSL证书只有三个月的期限,而付费证书使用期限一般是一到两年,证书过期之后就会出现https不安全的情况。还有
HCL AppScan Standard扫描有关前端Xss安全报告处理
txf666的博客
11-01 1333
HCL AppScan Standard扫描有关前端Xss安全报告处理
web渗透测试----14、CSRF(跨站请求伪造攻击)
七天
03-25 3660
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
AppScan检测“Content-Security-Policy”头缺失或不安全
liudoyang的博客
12-31 2万+
“Content-Security-Policy”头缺失或不安全 用AppScan对url进行检测出现“Content-Security-Policy”头缺失或不安全问题 解决方法: 在拦截器或者过滤器中添加 response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'; frame-anc...
Referer和Referrer Policy详解
weixin_43487782的博客
03-05 4123
最近换了个负责网络安全的leader,整个部门开始网络安全整顿,我们负责WEB的接到通知要求防御CSRF攻击,设置referer白名单。之前看过一点referer相关的,但是了解不够深入,趁这次机会好好了解了一下。 1. 什么是 Referer Referer 是 HTTP 请求头的一个字段,当浏览器(或者模拟浏览器行为)向服务器发送请求时,浏览器会自动在请求头中加上 Referer 字段,表示的意思是链接的来源地址,比如在页面引入图片、JS 等资源,或者跳转链接,一般不修改策略,都会带上Referer。
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全
Programming
06-05 1万+
web安全测试之appscan – “Content-Security-Policy”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-testAppscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含Content-Security-Policy请求头header的缺失或不安全的时候,我们该如何应对。首先,它的严重性低。AppScan 检测到 Conten
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值