服务器修改referer,electron自定义header伪装ua及referer欺骗远程服务器

最新推荐文章于 2024-06-06 10:40:22 发布
最新推荐文章于 2024-06-06 10:40:22 发布
阅读量2k 收藏 1
点赞数 1
文章标签: 服务器修改referer

本文中,苏南大叔讲述一下electron的几个邪门使用方式。为啥说是邪门方式呢?因为正常的程序不会这么干的。那就是:修改user-agent和referer,也就是伪装客户端信息,用于欺骗特定的远程服务器网页。当然,在具体操作的时候,都是很多种欺骗方式的组合,本文中描述的手段仅仅是初级入门级别的。

58d661447a711eb72a1669b46780442d.png

本文测试环境:win10/[email protected]/electron-quick-start。

检测ua和referer

本文的配套龙套代码是基于php的,代码如下:

echo $_SERVER["HTTP_USER_AGENT"];

echo $_SERVER['HTTP_REFERER'];

同时,用js有可以检测ua和referer,代码如下:

alert(document.referrer);

alert(navigator.userAgent);

请注意js中的referrer比常见的referer多一个字母r。

为什么,苏南大叔在这里给出了两套检测方案呢?那是因为市面上有几个方案,其欺骗效果,是通不过js检测的,这个留作后话。

66f1fd8ad0a11d86dbcb291943eed20c.png

默认ua和referer

默认ua

对于本文的[email protected]来说,默认的ua是:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) electron-quick-start/1.0.0 Chrome/73.0.3683.121 Electron/5.0.6 Safari/537.36

可以看到,这个ua里面,居然有electron项目名称及版本号[email protected],而且有Electron的版本号[email protected]。这个ua,简直有泄密的嫌疑啊。

默认referer

默认的referer是空,所以,这里不做特殊说明了。

修改ua和referer

本文中的方案是利用loadUrl这个函数,来做修改的。所以,您的目标如果不能用loadUrl加载的话,就可能需要看其他的方案了。这里可能不是太适合您。

function createWindow () {

//...

mainWindow.loadURL('http://remote/check.php',{userAgent: 'Chrome',httpReferrer:"http://www.baidu.com/"});

//...

}

注意两个主要参数的单词拼写userAgent和httpReferrer,可能和传统认知是有区别的。

9091640b31610f14bb85f5868e93c547.png

下面的图,是本方案的测试结果:

70cd2842631c25731d686d631038f14a.png

特殊说明

所以,本文的方案的成功,需要重点说明的是:

还可以通过loadUrl定义更多的header,具体的可以参照官方文档。值得说明的是:只有userAgent和httpReferrer是被特殊提出来的参数,其他的header都被放在一个参数extraHeader里面了。可见,修改这两个参数的几率,是有多么的高。

总结

对于修改userAgent和referrer来说,本文仅仅是其中的一个简单方案。

weixin_39900676
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[项目记录]用vue-electron搭建pc网易云音乐程序(3-1)——添加header头部功能
iufesjgc的博客
05-31 703
头部从左到右依次为: 前进后退功能、搜索功能、听歌识曲、登录及查看个人信息、换肤、设置、消息、迷你模式,最小化最大化和关闭。 1、前进后退功能: 一开始我以为这个功能很简单的,只需要获取历史路径记录就可以了,用window.history,但有一个问题,它记录的是所有的历史记录,也就是说哪怕后退,他也会记录进去,在window.history.length里直接加一,这样就没法判断起始页了。咨询了几个大佬,大佬说这个功能要自己写,细问之后有了大致思路。 首先在data里定义好routehisto..
极客手中的利器 Electron
非著名程序员
07-18 1106
作为一个前端开发人员,你可能已经听说过 Electron 了,你知道 VS Code 是基于这个技术开发的。不但 VS Code,目前一些大热的软件:飞书、Slack、WhatsApp ...
electron 学习笔记(三)——自定义标题栏
娃哈哈_的博客
10-30 8717
系列文章目录 第一章 基础知识点 第二章 electron-vue 第三章 自定义标题栏 文章目录系列文章目录前言一、效果预览二、重点步骤1.去掉默认的标题栏和边框(Main process)2.自定义标题栏(Render process)3.在标题栏中引用 【天气】组件4.最小化、关闭窗口总结 前言 electron项目默认有自己的标题栏(包含标题、最小化、最大化,关闭),根据项目需求,可以去掉,定制开发 一、效果预览 二、重点步骤 1.去掉默认的标题栏和边框(Main process) 代码
electron自定义顶部
最新发布
weixin_60523038的博客
06-06 517
electron自定义标题
php iframe referer,【技术分享】通过iframe注入实现referer欺骗
weixin_28778547的博客
03-19 560
稿费:100RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言去年我们提过一种很简单的在Edge上实现referer欺骗的技术,该技术允许我们实现referer欺骗甚至是绕过XSS过滤。今天我发现该问题被修复了,因此我决定在补丁上进行尝试寻找问题。老实说,我觉得这只是一种攻击的变种而不是一种绕过。从实践来看,该技术绕过了补丁再次攻击成功,但是从技术角度来看,新方法略有不...
Referer伪造,防盗链与反盗链相关
热门推荐
胡杰的专栏
08-20 2万+
Referer伪造,防盗链与反盗链相关 Referer简介 伪造http-referer的方法
服务器修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1477
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
浏览器的referer服务器修改的吗,踩了Chrome85修改referer策略的坑
weixin_36469726的博客
08-10 1618
一个内部使用的网盘系统,同事反馈登录进系统后页面一直在反复刷新,url上的登录token也在疯狂变化。很明显是因为后台没有成功判断到用户已经登录,导致页面一直跳转到登录授权服务器获取token。这个问题在我到浏览器上也复现了,而我用safari,火狐则没有这个问题。只有Chrome会出现反复刷新。将问题反馈给负责系统后台的同事,神奇的是,他的Chrome并不会反复刷新。登录同事说登录的token是...
electron 为所有请求添加请求头
学吧
10-13 4060
实际开发中我们和后端交互的时候经常需要携带token,本将为你提供解决办法 const {session} = require('electron'); const xxx_filter = { urls: ["*://*/*"] } session.defaultSession.webRequest.onBeforeSendHeaders(xxx_filter, (details, callback)=> { details.requestHead
php将远程图片保存到本地服务器的实现代码
10-23
总结来说,通过PHP的cURL库和自定义函数,我们可以轻松地实现远程图片到本地服务器的保存。这不仅适用于单个图片,也可以应用于批量处理,只需在一个循环中调用这些函数即可。同时,确保正确处理任何可能出现的错误...
Android CordovaWebview Add Header Referer
12-29
本代码是处理android hybrid混合应用,遇到的webview 拦截 header referer 问题的解决。 场景:angular $HTTP 或者js的http请求或者其他。。webview成功拦截get 、post、delete请求,添加headerreferer以及body ...
electron-template
05-21
安装依赖项: npm install 启动开发服务器: npm run debug 启动电子: electron . 为生产而构建: npm run build 请注意,您必须修改/electron/main.js使其指向“ prod.html”,以便它查找静态资产文件而不是您的webpack开发服务器。 待办事项:使此过程自动化
使用referer指令配置Nginx服务器来防止图片盗链
01-10
由于nginx不支持.htaccess,所以,从这个方面直接去防止是行不通的,我们要通过修改配置文件来解决。 首先,我们找到需要防盗链的域名的conf文件,路径:/usr/local/nginx/conf/vhost/,比如guance.com.conf。先备份...
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER的方法
10-30
3. **服务器端校验**:可以在服务器端进行更严格的校验逻辑,比如检查Referer字段是否符合预期的格式,或者检查请求中是否包含某些特定的标识符。 4. **动态生成资源地址**:通过动态生成资源地址并结合Session等...
隐藏referer
weixin_34254823的博客
09-26 355
2019独角兽企业重金招聘Python工程师标准>>> ...
Electron.js简介-第1部分:设置
08-13 652
In this article we’ll be learning how to develop our own native desktop applications using Electron.js. We’ll be making a basic todo list app to master the fundamentals behind creating menus, working ...
篡改referer_HTTP_REFERER的用法及伪造
weixin_29615645的博客
12-24 2153
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改HTTP_REFERER 的功能。简言之,该值并不可信。 ”在百度百科中,对于该参数的描述如下:“HT...
java隐藏请求连接吗_如何让浏览器在访问链接时不要带上referer
weixin_32160507的博客
02-13 354
有个折中的办法// 例子, 比如index.html转向例子#example, iframe.hidden {display:none;}$().ready(function(){$("#example").show();$(document.body).on('click', 'a[rel~="hide_ref"]',function(){var url = '/redirect.html#!'...
利用自定义HEADER屏蔽搜索引擎
mtawaken的专栏
10-20 1086
<br />搜索引擎收录blog对有些人而言并非是件好事,例如我就不喜欢百度的爬虫扫我的站,带来毫无意义的访问和闲杂人等。对于使用 blogbus这样的BSP用户而言,自行定义robots.txt还没法实现,不过好在bus最近新推出了个自定义header的功能,我们可以利用meta 信息来屏蔽某些搜索引擎乃至全部<br />假如你想屏蔽所有搜索引擎的抓取的话,可以在自定义header里添加如下一句<meta name="robots" content="noindex, nofollow" /><br
header 中不能设置 referer
09-15
HTTP请求头部中的Referer字段是可选的字段,它用来指明当前请求是从哪个页面链接过来的。一般情况下,浏览器在发送请求时会自动添加Referer字段。然而,根据HTTP协议的规范,发起请求的客户端有权选择是否发送Referer字段,也就是说客户端可以选择不发送Referer字段。 在实际应用中,有时候我们可能希望不发送Referer字段,比如进行一些隐私保护和安全性考虑,确保不会泄漏敏感信息。然而,这个限制不是由header中设置Referer所决定的,而是由浏览器的实现和配置决定的。 因此,虽然大部分浏览器都会在默认情况下发送Referer字段,但可以通过特定的配置或使用一些浏览器插件来修改浏览器的行为,以达到不发送Referer字段的目的。这是在浏览器层面上进行的,和HTTP请求的header设置没有直接关系。 综上所述,HTTP请求的header中无法直接设置Referer字段的发送与否。要控制请求是否发送Referer字段,需要通过浏览器的配置或插件来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值