这样做的意义何在?
我想要一个理由,说明如果引荐来源网址不在域内,将人员送回他们来自的地方是个好主意。我想知道为什么少数网站坚持认为这是一种很好的做法。它很容易被利用,很容易被任何怀有恶意登录的人绕过,并且只是在我面前怒目而视,认为这是一种无用的“安全”措施。我不喜欢在没有其他输入的情况下对事物有偏见,所以请向我解释一下。
请求 header 仅与您的客户端一样值得信赖,您为什么要使用它们作为验证手段?
最佳答案
有人可能想要这样做的三个原因。检查referer是CSRF Prevention的方法.网站可能不希望人们链接到敏感内容,因此使用它来反弹浏览器。也可能是为了防止蜘蛛访问发布者希望限制的内容。
我同意在您自己的浏览器上使用 TamperData 之类的东西很容易绕过这个引用限制。还应注意,如果您从 https:// 页面转到 http:// 页面,则浏览器的 http 请求将不包含引荐来源网址。
关于http - Web 安全——如果在域外,HTTP-Location = HTTP-Referrer?为什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3450845/