是否可以更改HTTP_REFERERVBScript 中的值?为了避免 XSS 攻击,我CSRF在链接中使用了数据。但是当我将用户链接到外部网站时,CSRF如果他们正在检查HTTP_REFERER.
所以我读到你应该在中间放置一个中间页面,它将重定向到所需的页面。所以我尝试创建一个名为的页面,该页面RedirectPage.asp将 URL 作为参数并执行Server.Redirect. 但是如果我点击一个外部链接pagex.asp?CSRF...,我最终HTTP_REFERER还是会看到pagex.asp。
那么有没有办法“清理”我的REFERER标题?
谢谢!!
通过使用元重定向而不是重定向标头,您可以更改 Firefox 和 IE 中的引用者,但不能更改 Chrome,如此处所述:https ://stackoverflow.com/a/2985629/160565
但是,您可以通过 SSL 页面重定向来始终清除(不是更改,而是消除)http_referer。
为了节省重定向,您还可以检查支持 rel="noreferrer" html5 属性的浏览器,并在这些情况下使用它。我相信目前这只是 webkit 浏览器。 http://www.whatwg.org/specs/web-apps/current-work/multipage/links.html#link-type-noreferrer