问题标签 [http-referer]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
9 回答
2210 浏览

security - 使用 HTTP_REFERER 阻止用户访问站点内部

我可以控制 HttpServer,但不能控制 ApplicationServer 或坐在那里的 Java 应用程序,但我需要阻止直接访问这些应用程序上的某些页面。准确地说,我不希望用户自动访问向适当的 servlet 发出直接 GET/POST HTTP 请求的表单。

所以,我决定根据HTTP_REFERER. 毕竟,如果用户在网站内部导航,它会有一个合适的HTTP_REFERER. 嗯,我就是这么想的。

我在 .htaccess 文件中实现了一个重写规则,上面写着:

我希望禁止访问未浏览站点但使用查询字符串向“servlet1”或“servlet2”servlet 发出直接 GET 请求的用户。但是我的期望突然结束了,因为正则表达式(servlet1|servlet2)/.+\?.+根本不起作用。

当我将该表达式更改为时,我真的很失望,(servlet1|servlet2)/.+而且效果如此之好,以至于我的用户无论是否浏览该网站都会被屏蔽。

所以,我的问题是:如果我没有访问/特权/时间来修改应用程序,我如何才能完成不允许“机器人”直接访问某些页面的事情?

0 投票
5 回答
154476 浏览

php - 在 PHP 中确定引用者

确定当前页面发送或调用(通过 AJAX)哪个页面的最可靠和最安全的方法是什么。由于(缺乏)可靠性,我不想使用$_SERVER['HTTP_REFERER'],并且我需要调用的页面仅来自源自我网站的请求。

编辑:我希望验证是否正在从我网站上的页面调用执行一系列操作的脚本。

0 投票
5 回答
2673 浏览

http-referer - Which browsers/plugins block HttpReferer from being sent?

I am trying to interpret HttpReferer strings in our server logs. It seems like there is quite a high number of empty values.

I am wondering how many of these empty values are due to direct hits from people entering our URL directly into a browser and how many might be due to some kind of blocking utility that prevents the Referer from being sent.

I really have no idea how many people are using tools or browsers or 'anonymizers' that might block the refer. Any input?

0 投票
3 回答
2845 浏览

php - IE 6 将提供的 HTTP_REFERER 替代品?

所以 IE(至少 6 个)不会帮助我解决$_SERVER["HTTP_REFERER"]我对 PHP 的要求。

但我是 JavaScript 新手,刚刚在弹出窗口中使用了一个小程序来刷新调用弹出窗口的页面(即父页面)。在 Firefox、Safari 等中运行良好。

没有安全问题 - 我只想加载在窗口中的用户是调用弹出窗口(用于编辑)的页面的 URL。(而不是弹出窗口的 URL)。

当我链接到弹出窗口时,我是否被迫在 GET 中发送URL?

0 投票
3 回答
1968 浏览

php - 基本的 php 表单帮助 - 引用标题

我现在已经设置好了,当人们在填写表格后进入“谢谢”页面时,他们会进入一个页面,上面写着:

我想要的是它说:

有没有一种简单的方法可以做到这一点?

0 投票
7 回答
253 浏览

php - 这种方法是否足够好/安全,可以向用户显示错误?- PHP

我正在开发一个网站,由于用户输入或其他原因,我需要显示一些错误消息。为此,我有一个名为error.php的页面,并使用 $_GET 获取错误号。所有错误消息都存储在一个数组中。

例子:

但我不希望用户在 URL 中输入错误代码并查看所有其他错误消息。为了防止这种情况,我认为我可以将引用页面列入白名单,并且仅在我的白名单中找到引用者时才显示错误消息。

它应该与此类似(尚未测试;))

这种方法是否足以避免间谍用户

我用 PHP5 做这个

谢谢

0 投票
6 回答
6879 浏览

php - php/html - http_referer

我正在创建一个网站,在一个特定页面上,我想将用户送回上一页。我对 PHP/HTML 相当陌生,并且一直在使用一些现有的代码来获得想法和帮助。

现有代码使用以下方法:

但是,当我使用此代码时,HTTP_referer 始终被视为空,并且用户被重定向到根页面。这段代码有什么明显的缺陷吗?

0 投票
3 回答
13198 浏览

http-referer - 你如何欺骗 HTTP_REFERER?

我需要尝试欺骗 HTTP_REFERER 传递我的另一个页面,以便在目标页面中,我可以确定请求来自“正确”页面并执行适当的逻辑。

  1. 我如何在 JavaScript (AJAX) 中做到这一点?
  2. 我可以在 ASP.Net 中做到这一点吗?

TIA 公羊

0 投票
2 回答
4427 浏览

asp.net - 我们应该如何在 aspx .net 中验证 http 标头引荐来源网址

我想确保在错误页面上没有任何不愉快的事情进入引荐来源网址。

为了验证 http 标头,我应该检查什么。

以下是我当前的代码:

这将导致使用 %3C 和 %3E 而不是 < 和 > 的 acunetix 扫描失败,因此我显然需要涵盖 html 编码 - 还有什么我遗漏的吗?

更新 我可以使用以下代码捕获所有 acunetix 扫描:

0 投票
3 回答
36084 浏览

php - PHP - 引用重定向脚本

通常,在搜索答案时,我发现某些网站将允许您阅读他们提供的信息,例如,如果引荐来源是 google.com。但是,如果您直接链接到该信息,它将不可用。

我正在寻找的是最小的 PHP 脚本,它将设置我选择的引用者和目的地,如下所示:

笔记:

  • ref_red.php是我示例中脚本的名称。
  • refererend应该接受httphttpsftp
  • refererend可以包含任何类型的 URI,例如简单如http://end.com或复杂如: http://example.com/some/rr/print.pl?document=rr

注意:根据回复中的建议,我正在添加此内容。该脚本本身并不是一个完整的代理。仅会代理初始 HTTP 请求(而不是图像等后续请求),其唯一目的是设置referer