1

我有一个简单的嵌入脚本:

document.write(unescape('%3Cscript src="' + mp_protocol + 'blah.cloudapp.net/js?location="' + window.location +' type="text/javascript"%3E%3C/script%3E'));

正如您现在所看到的,嵌入代码的网页的 URL 是使用 window.location 传入的。但这很容易被客户编辑。

我想知道我是否可以获得推荐人而不是传递网址。由于嵌入了此脚本,我不确定是否会传递引用信息?

(是的,你也可以伪造推荐人......但这比我认为大多数人想要的要多一些努力)。

4

1 回答 1

3

浏览器通常会为脚本请求发送一个“Referer”(原文如此)标头,其中包含包含脚本链接的页面的 URL,无论该脚本元素是如何创建的。

这可以通过检查“Referer”HTTP 变量来访问(注意不寻常的拼写)。

这个想法是你可以检查这个变量,看看它是否引用了你网站的一部分。

请注意,此变量并不总是准确的;用户可以选择不发送引用标头(使用某种极小的隐私工具)来保护他们的隐私,他们甚至可以修改浏览器以在此字段中发送他们想要的任何内容。因此,不应依赖它进行身份验证,除非您还考虑到即使是合法用户也可能将其留空或在其中放入任意字符串。

于 2010-08-05T03:17:58.533 回答