Puis-je me fier à L'en-tête HTTP Referer?

Peut-on s'appuyer sur Referer en-tête HTTP dans mon application web? Je veux vérifier si l'utilisateur est venu d'un domaine particulier/page Web, et si il ou elle a fait, puis modifier la mise en page de mon site en conséquence.

je sais que les gens peuvent désactiver Referer dans leurs navigateurs. Des idées comment souvent les utilisateurs? Puis-je compter sur Referer être présent à 99%?

25
demandé sur bodacydo 2011-11-30 04:57:08
la source

2 ответов

en règle générale, vous devriez pas faites confiance à L'en-tête HTTP Referer pour toute question d'importance, sauf pour l'analyse statistique purement informative de qui vos visiteurs sont ou lorsque vous recherchez des modèles de comportement parmi les utilisateurs de votre propre site.

en aucun cas il n'est conseillé d'utiliser cet en-tête pour AAA (Authentification, autorisation et comptabilité), à moins que, comme indiqué ci-dessus, vous n'envisagiez de comptabiliser la simple analyse du trafic de votre visiteur comportement.

L'OWASP (Open Web Application Security Project) le considère comme "vulnérable" en utilisant le en-tête de Referer pour AAA dans votre Application web.

Voici D'autres raisons plus spécifiques de ne pas faire confiance à L'en-tête Referer:

  • en général, lors d'une" liaison " à partir D'une connexion HTTP <-> HTTPS (TLS), la plupart des navigateurs Web standard n'informeront pas cet en-tête.

  • pour la protection de la vie privée pour des raisons, de nombreux mandataires d'entreprise sont configurés pour supprimer/rayer cet en-tête, donc même si un navigateur Web envoie cet en-tête, un logiciel mandataire d'entreprise peut le supprimer.

  • dans la nature des solutions de sécurité, les logiciels malveillants, les navigateurs embarqués dans les applications... sont connus pour modifier et/ou tromper le contenu de cet en-tête.

Attention:

  • lorsque le" lien " entre HTTPS et HTTPS est établi, la plupart des navigateurs Web standard l'informeront en-tête même en cas de changement de nom de domaine ou de destination de l'adresse réseau.
28
répondu jose.angel.jimenez 2015-09-18 21:16:55
la source

tant que vous avez un comportement par défaut raisonnable quand il n'y a pas de valeur utilisable, et que vous ne faites rien de sensible à partir de cela, c'est probablement correct.

un utilisateur malveillant peut définir cet en-tête à tout ce qu'il veut. Je m'attends à ce que la plupart des utilisateurs ne modifient pas le comportement par défaut de leurs navigateurs, il est donc probablement là et précise la plupart du temps.

il y a probablement aussi des cas où la commutation entre HTTPS et HTTP causera un en-tête de referer non à être envoyé.

1
répondu cpugeniusmv 2011-11-30 05:07:37
la source

Autres questions sur