惨js对referer来路伪造来路无效

最新推荐文章于 2022-08-15 16:04:01 发布
最新推荐文章于 2022-08-15 16:04:01 发布
阅读量437 收藏 1
点赞数
文章标签: php javascript ViewUI

这段时间一直研究怎么才能在  webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是通过js文件进行统计的,这样就形成了伪造来路的不成功,具体为什么不成功就让下面的一篇文章说明吧!
众所周知,服务器端的referer来路是可以伪造的,无论是ASP、PHP还是其他脚本都是可以伪造referer的,一些下载软件更是把referer伪造的惟妙惟肖,利用webbrowser控件可以方便的伪造来路。那么,作为保护网站的守门人,它如何防止这些伪造的referer呢?
    这里,利用的是 Javascript 这一利器。
    上面提到的伪造referer的方法都是通过服务器端的脚本来实现的,但它们并不能欺骗客户端。而JS是在客户端执行的,它并不会理会服务器端的headers信息,所以,利用js的 document.referer 方法可以准确地判断网页的真实来路。
    几乎所有的第三方统计不约而同地采用了 document.referer 来判断来路,为什么?正是基于 js 下的 referer来路 是不可伪造的。即使在服务器端成功地伪造了referer的网页脚本,在第三方统计里也是无法被统计到的,原因正是由于这些三方统计采用了 document.referer 来判别真实的来路。
    所以,为了对抗虚假的 referer 伪造信息,统计代码需要利用 js 的 document.referer 来判别,就可以将伪造的信息拒之门外 
    据目前所知,到目前为止,js下是无法伪造 referer 的。
    那么有人问了,如果客户端把JAVASCRIPT脚步甚至cookies关闭了,你还怎么判断这个referer?其实答案也很简单,就是 js 和 asp/php 脚本之间通过 操作cookies 这个中间桥梁来实现,js里把这个referer写入cookies,asp/php读取这个cookies,如果读取不到这个cookies,则判断非本站来路。

weixin_34343000
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js 伪造referer_JavaScript 伪造 Referer 来路方法
weixin_39801879的博客
12-22 2790
Javascript 是一种由Netscape的LiveScript发展而来的原型化继承的基于对象的动态类型的区分大小写的客户端脚本语言,主要目的是为了解决服务器端语言,比如Perl,遗留的速度问题,为客户提供更流畅的浏览效果。因为服务器端脚本可以轻易伪造referer,所以各大统计站点cnzz,百度统计,ga,51la等都是通过js来判断来路,不过现在有个方法jsreferer也可以伪造了。W...
js 伪造referer_javascript操作referer方法探讨
weixin_35953401的博客
01-13 1736
介绍正式内容前,先说说referrer的重要性。http请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了。在javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就...
js伪造Referer来路
huaieli1的博客
10-31 2万+
首先说明,伪造访问来路不是什么光明正大的事情,目的就是为了欺骗服务器。原本以为给 XMLHTTP 对象增加一个 Referer 的header 就可以,结果却没有任何作用,改用 ServerXMLHTTP 也如此。 无意间发现公司内部项目使用的 paypal 扣款程序里面有 WinHttp.WinHttpRequest.5.1 对象,它负责把客户的信用卡信息提交到 paypal 的服务器,看
JS伪造referer 测试请求b站API
Love丶伊卡洛斯
08-20 1083
前言 参考文章: js伪造Referer来路 ActiveXObject 对象 - [ JavaScript参考手册 ] XMLHttpRequest - Web API 接口参考 | MDN IWinHttpRequest::SetRequestHeader method 因为XMLHttpRequest无法直接在客户端伪造referer 所以使用微软的WinHttpRequest,配合IE浏览器,ActiveX控件实现伪造。默认限制,需要允许下。 微软文档IWinHttpRequest::SetR
js 伪造referer_js对抗referer来路伪造-如何伪造来路
weixin_39927683的博客
12-22 296
$capabilities = DesiredCapabilities::chrome();$options = new ChromeOptions();$host = 'http://192.168.0.51:4444/wd/hub';$options->addArguments(["--headle", //无头模式"--disable-infobars",'--disable-gpu'...
php 伪造ip以及url来路信息方法汇总
10-25
这里,我们手动构造了HTTP请求,并设置了`Referer`头部,从而达到伪造来路信息的目的。 此外,`cURL`在抓取网页内容时非常强大,可以通过`curl_setopt()`设置多个选项,如设置超时时间、是否返回响应头、是否跟随...
流量统计器如何鉴别C#:WebBrowser中伪造referer
09-04
C#中的`WebBrowser`控件允许开发者模拟浏览器行为,包括设置`referer`头,以达到伪造来路的目的。 然而,现代流量统计器,特别是像CNZZ和Google Adsense这样的专业服务,通常依赖JavaScript(JS)来获取更准确的...
解析php下载远程图片函数 可伪造来路
12-19
在本篇文章中,我们将详细解析一个名为`DownImageKeep`的PHP函数,该函数能够下载远程图片并支持伪造来路,以应对目标服务器可能存在的防盗链设置。 首先,我们来看一下`DownImageKeep`函数的定义: ```php ...
PHP JS根据自定义来路域名跳转到指定页面源码
09-07
1. **安全性**:确保只信任可信的来路域名,防止恶意攻击者伪造`Referer`字段进行非法跳转。 2. **兼容性**:并非所有浏览器都支持或发送`Referer`字段,因此应有备选方案或兼容处理。 3. **用户体验**:合理设置...
linux curl命令来路伪装(referer)和浏览器伪装(user-agent)
YHJ
06-06 4451
一般的知名站点,都有一套比较完善的机器流量检测系统;它通过流量的IP、流量的来源、使用的浏览设备、访问频次、用户行为等综合分析,来判断当前流量是真实的用户流量,还是机器在爬网站的数据,从而做出是否封禁当前流量的决定。第三方统计站点,也是使用此原理来帮助站长统计用户行文的。   而其中的流量来源、使用的浏览设备、甚至流量的IP都是可以伪造的。本文为介绍curl伪装访问来源、和伪装使用的浏览器的方法。伪装来路IP地址,请参考“linux curl命令使用代理服务器”。 一、原理说明:   浏览器与http服务.
javascript操作referer详细解析
12-01
Referrer的重要性HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的流量的分布情况,还有用户搜索的关键词等,都是通过分析这个referrer信息来获取的。 但是,出于各种各
php 伪造IP和HTTP-REFERER的方法
11-14
php 伪造IP和HTTP-REFERER的方法,对于采集,匿名投票等很有用处
解决jsreferer兼容各大浏览器的方法
12-11
HTTP Header referer这玩意主要是告诉人们我是从哪儿来的,就是告诉人家我是从哪个页面过来的,可以用于统计访问本网站的用户来源,也可以用来防盗链。获取这个东西最好的方式是js,如果在服务器端获取(PHP方法如:$_SERVER[‘HTTP_REFERER’]) 不靠谱,人家可以伪造,用js获取最好,人家很难伪造, 方法:利用js的 document.referer 方法可以准确地判断网页的真实来路。 目前百度统计,google ads统计,CNZZ统计,都是用的这个方法。防盗链也很简单了,js里判断来路url如果不是本站不显示图片。 众所周知,我们web开发人员痛恨IE浏览器,因
Referer伪造,防盗链与反盗链相关
热门推荐
胡杰的专栏
08-20 2万+
Referer伪造,防盗链与反盗链相关 Referer简介 伪造http-referer的方法
解决js下跳转无referer的方法
weixin_33712881的博客
01-08 3205
HTTP Header referer这玩意主要是告诉人们我是从哪儿来的,就是告诉人家我是从哪个页面过来的,可以用于统计访问本网站的用户来源,也可以用来防盗链。获取这个东西最好的方式是js,如果在服务器端获取(PHP方法如:$_SERVER['HTTP_REFERER']) 不靠谱,人家可以伪造,用js获取最好,人家很难伪造,方法:利用js的 document.referer 方法可以准确地判断网...
SuperAgent
deai_dai的博客
06-24 671
superagent它是一个强大并且可读性很好的轻量级ajaxAPI,是一个关于HTTP方面的一个库,而且它可以将链式写法玩的出神入化。 安装 $ npm install superagent –saveSuperAgent里面设置请求头很简单,通过使用set()方法就可以设置了,有两种方式单个单个的设置superagent .get(‘/api‘) .set(‘Referer‘,‘https://www.google.com‘) .set(‘Accept‘,‘image/webp,image/,/*;q
JS无法修改referer
huanliandie的博客
03-18 9697
因为要跨域访问,容易丢失referer,所以需要在header里面设置referer,然并卵 能修改referer的方法主要是根据浏览器的漏洞,比如IE chrome的安全性很高,不过可以使用webrequest组件来修改,但这个是用于插件开发的。总结几点js遇到的几点安全性问题 1.跨域: 不止体现在ajax上,就连iframe内部的html都无法使用外部的js解决即便是最新的html5
js修改 referer_GET请求Referer限制绕过总结
weixin_33898154的博客
01-20 3853
前言在做测试的时候会遇见这样几个漏洞场景:JSONP跨域劫持反射XSSGET请求类型攻击但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢?正文什么是RefererReferer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上文所说的场景,遇见了Re...
前端referer修改
xiaozhahza的博客
08-15 4054
步骤如下: 1.打开vscode编辑器,找到已安装的插件live Server插件,点击扩展设置 2.找到 liveServer>settings:port 选项,点击settings.json中编辑 3.把liveServer.settings.port设置你想要的端口号,改为3000,保存…referer为浏览器请求头中的固定配置,是浏览器去电脑上去读取的。如果我们想要修改浏览器中的referer配置我们需要修改电脑系统中的hosts文件。如果我们使用的vscode我们可以在插件的配置中设置端口。...
axios referer 伪造
最新发布
07-13
在使用 Axios 发送请求时,可以通过设置请求头来模拟伪造 Referer。可以使用 Axios 提供的 `headers` 参数来设置请求头,具体代码如下: ```javascript axios.get('https://example.com', { headers: { Referer: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值