2.http请求头中Referer的作用与伪造

最新推荐文章于 2024-07-19 22:26:16 发布
最新推荐文章于 2024-07-19 22:26:16 发布
阅读量1.1w 收藏 24
点赞数 6
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44471152/article/details/102669687
版权

文章目录

一、Referer

Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer

例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击这个链接跳转到baidu的时候,浏览器向baidu发出的请求信息里就有:Referer=http://www.google.com

Referer的正确拼写是referrfer,由于早期的HTTP规范的拼写错误,于是决定将错就错。

1.作用
  • 防盗链:
    比如只允许某台服务器访问我自己的图片服务器资源,则可校验Http请求包中的Referer。判断是不是特定服务器的域名,若不是,则拒接响应。
  • 防止恶意请求:
    对于某些风险较高的文件类型,可使用Referer使得该类型文件只能来自我所指定的网站。
2.空Refer

Referer头部的内容为空的情况:

  • 浏览器内直接输入URL
  • Windows桌面的超链接图标
  • 浏览器内书签
  • 第三方软件内容中的链接跳入

二、Referer的伪造

1.伪造为ip地址
  1. 使用Firefox的X-Forwarded-For Header 插件更改ip地址
  2. 使用brup拦截请求包,在Proxy里面发送到Repeater,将Http头中的X-Forwarded-For改为想改的ip

2.伪造为URL

  通过brup拦截,再使用Reapter修改Referer为想指定的URL

wjiaman
关注
  • 6
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http请求头中Referer的作用及危害
墨痕诉清风的博客
03-14 2万+
一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击这个链接跳转到baidu的时候,浏览器向baidu发出的请求信息里就有:Referer=http://www.google.com Referer的正确拼写是referrfer,由于早期的HTTP规范的拼写错误,于
http请求头中Referer与Origin的区别(Host)
墨痕诉清风的博客
08-29 659
host用的最多的场景是:单台服务器设置多个虚拟主机时,比如host碰撞。若是没有host请求头,客户端的请求就不能标记出该访问哪一个虚拟主机了。http/1.1中必须包含host请求头,且只能设置一个。host的值为客户端请求的服务器的域名(或者ip)和端口。origin较referer更安全。
来源页伪造referer)
qq_63969018的博客
04-05 535
利用修改referer头来进行来源页伪造
深入了解HTTP请求中的Referer头部
YouAreMyLove995的博客
04-23 3202
Referer头部是HTTP请求中的一个标头字段,用于指示当前请求的来源页面。通常由HTTP客户端(如浏览器)发送给服务器,帮助服务器了解用户是从哪个页面跳转而来的。这个字段的作用在于提供了请求的上下文信息,有助于服务器进行处理和响应。综上所述,Referer头部是HTTP请求中一个重要的标头字段,用于指示请求的来源页面。它在网站开发、分析和安全防范中都有着重要的作用,但也需要注意用户隐私和安全性方面的考虑。
请求头中的Cookie和Referer(学习笔记)
ldk的博客
07-19 623
Cookie 是保存在客户端(通常是浏览器)上的一个小型文本文件。它由服务器发送,并且在之后的每次请求中,客户端都会自动将这个 Cookie 附带到请求头中,发送回服务器。在用户登录之后,为了能够准确地获取到用户的登录信息,服务器通常会生成一个唯一的 Session ID,并将其存储在 Cookie 中。这个 Cookie 会跟随请求头一起提交到服务器。这样,服务器就能够识别出这是哪一个用户,从而返回相应的数据。可以使用 模块 requests 的session来模拟这种行为。session。
什么是HTTP Referer?
weixin_34128839的博客
11-16 5118
什么是Referer? Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Ref...
http请求头中Referer的含义和作用
liuqinhou的博客
08-08 1万+
计算机网络
请求头referer作用及去除
qq_49810363的博客
12-11 5529
注意:本人是菜鸟,仅供参考 一、请求头referer作用 当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理 1、防盗链 比如服务器只允许网站访问自己的静态资源,那服务器每次都需要判断Referer的值是否是自己的域名,如果是就继续访问,不是就拦截 2、防止恶意请求 必须 Referer为我自己的网站才可以访问,否则禁止访问 二、在防盗链设置中,允许空Referer和不允许空Referer有什么区别? 允许为空,那再浏览
围绕http请求头中Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER的方法
10-30
在Web应用中,HTTP-REFERER字段通常用于记录客户端请求来源页面的信息,这在许多方面都有着重要的作用,例如统计分析、防盗链等。然而,由于其可伪造性,使得HTTP-REFERER字段变得越来越不可靠。本文将详细介绍如何...
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨
10-30
以上两种方式都通过设置请求头中Referer字段来实现伪造的目的。 #### 防止伪造Referer的方法 为了防止HTTP-REFERER被伪造,开发者可以采取以下几种策略: 1. **使用验证码(Session)**:通过设置会话验证机制...
详解php伪造Referer请求反盗链资源
10-17
主要介绍了详解php伪造Referer请求反盗链资源,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTTP请求头中Referer的作用
Dax1_的博客
05-26 6773
Referer HTTP请求中,Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 例如,在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有: Referer=http://www.google.com 作用 1.防盗链 只允许我本身的网站访问本身的图片服务器,假如域名是www.goog
Referer请求头
GD_vigoss的博客
04-08 4693
本文分享自微信公众号 - code秘密花园(code_mmhy),作者:ConardLi 原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。 原始发表时间:2020-11-17 如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。 在开始阅读本文之前,如果你不理解 site和 origin之间的关系,请阅读:同站和同源你理解清楚了么? Referer 标头 Referer请求头包含了
HTTP请求referer
屈小康
09-27 571
什么是referer? http referer 是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪一个链接过来的,服务器因此可以获得哪一些信息用于处理。 referer的用途 统计文章来源:例如有多少次来自谷歌的搜索结果,有多少次来自百度的搜索结果。 图片防盗链:不是自己网站上的访问,图片显示404。 图片防盗 当我们复制其他网站的内容的时候,当里面有图片信息,粘贴下来你会发现图片无法显示。 场景:a站点的图片全部存储在c站点(云服务器
HTTP请求头中Referer、Host和Origin字段有不同的作用和含义
Keep trying, keep going
04-29 1602
例如,当用户从页面A点击一个链接访问页面B时,浏览器发起对页面B的请求会包含Referer字段,值为页面A的URL。
非常领先的分布式数据库Oceanbase OBCP 3.0培训教材
最新发布
09-05
非常领先的分布式数据库Oceanbase OBCP 3.0培训教材
2.浏览器的请求头部的 Referer 信息是否适合 Session 欺骗的防护?为什么?
06-01
浏览器的请求头部的 Referer 信息并不适合 Session 欺骗的防护,因为 Referer 信息可以被伪造,攻击者可以通过修改 HTTP 请求头部中的 Referer 字段来篡改请求来源,从而绕过一些基于 Referer 的防护措施。 例如,攻击者可以通过在自己的网站页面中插入一个隐藏的 iframe,然后将 iframe 的来源设置为被攻击网站,这样当用户访问被攻击网站时,浏览器会向被攻击网站发送带有正确 Referer 信息的请求,从而欺骗服务器,绕过了一些基于 Referer 的防护措施。 因此,建议在防护 Session 欺骗时,不要仅仅依赖于 Referer 信息,而应该采用更加可靠和安全的措施,如使用 HTTPS 协议、在客户端存储 SessionID 时加密、设置 Cookie 的 HttpOnly 属性等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值