security HTTP_REFERER कौन से मामलों में खाली होगा




http-headers cross-domain (4)

मुझे पता है कि एक खाली HTTP_REFERER प्राप्त करना संभव है। यह किस परिस्थिति में होता है? अगर मुझे खाली मिलता है, तो क्या इसका हमेशा मतलब है कि उपयोगकर्ता ने इसे बदल दिया? एक खाली एक प्राप्त करने के समान एक खाली हो रही है? और मुझे किस परिस्थिति में भी मिलता है?


एंडुसर होने पर यह खाली / खाली हो सकता है

  • ब्राउजर एड्रेस बार में साइट यूआरएल दर्ज किया गया।
  • ब्राउज़र-बनाए गए बुकमार्क द्वारा साइट पर गए।
  • विंडो / टैब में पहले पृष्ठ के रूप में साइट का दौरा किया।
  • एक https यूआरएल से एक http यूआरएल में स्विच किया गया।
  • एक https यूआरएल से एक अलग https यूआरएल में स्विच किया गया।
  • सुरक्षा सॉफ्टवेयर स्थापित है (एंटीवायरस / फ़ायरवॉल / आदि) जो सभी अनुरोधों से रेफरर को स्ट्रिप करता है।
  • एक प्रॉक्सी के पीछे है जो सभी अनुरोधों से रेफरर को स्ट्रिप करता है।
  • रेफरर हेडर (सर्चबॉट्स!) सेट किए बिना प्रोग्राम प्रोग्रामेटिक (जैसे, curl ) का दौरा किया।

बलुस की सूची ठोस है। यह फ़ील्ड अक्सर एक खाली तरीका खाली दिखाई देता है जब उपयोगकर्ता प्रॉक्सी सर्वर के पीछे होता है। यह फ़ायरवॉल के पीछे होने जैसा ही है लेकिन थोड़ा अलग है इसलिए मैं पूर्णता के लिए इसका उल्लेख करना चाहता था।


यदि रेफरर हेडर अनुरोध मूल पर भेजा जाता है तो यह रोकने के लिए नया रेफरर पॉलिसी मानक ड्राफ्ट का उपयोग किया जाता है, तो यह भी खाली होगा। उदाहरण:

<meta name="referrer" content="none">

हालांकि क्रोम और फ़ायरफ़ॉक्स ने पहले से ही रेफरर पॉलिसी का मसौदा संस्करण लागू कर लिया है, आपको इसके साथ सावधान रहना चाहिए क्योंकि उदाहरण के लिए क्रोम none बजाए no-referrer अपेक्षा करता है (और मैंने never भी कहीं never देखा है)।


HTTP_REFERER - ब्राउजर द्वारा भेजा गया, ब्राउज़र को देखे गए अंतिम पृष्ठ को बताते हुए!

यदि आप किसी भी कारण से [HTTP_REFERER] पर भरोसा करते हैं, तो आपको यह नहीं करना चाहिए, क्योंकि इसे आसानी से फिक्र किया जा सकता है:

  1. कुछ ब्राउज़र HTTP_REFERER को पारित करने की अनुमति न देने के लिए पहुंच सीमित करते हैं
  2. पता बार में एक पता टाइप करें HTTP_REFERER पास नहीं करेगा
  3. एक नई ब्राउज़र विंडो खोलें HTTP_REFERER को पास नहीं करेगा, क्योंकि HTTP_REFERER = NULL
  4. कुछ ब्राउज़र एडन है जो गोपनीयता कारणों से इसे अवरुद्ध करता है। कुछ फ़ायरवॉल और एवी करते हैं।

इस फ़ायरफ़ॉक्स एक्सटेंशन को आज़माएं, आप जो भी हेडर चाहते हैं उसे सेट करने में सक्षम होंगे:

@ मस्टर ऑफ़ उत्सव:

फ़ायरफ़ॉक्स:

एक्सटेंशन: refspoof , refontrol , हेडर संशोधित करें , no-referer

पूरी तरह से अक्षम: विकल्प "network.http.sendRefererHeader" के अंतर्गत कॉन्फ़िगरेशन में उपलब्ध है: और आप इसे रेफरर पासिंग अक्षम करने के लिए 0 पर सेट करना चाहते हैं।

Google क्रोम / क्रोमियम:

एक्सटेंशन: noref , spoofy , बाहरी noreferrer

पूरी तरह से अक्षम: Chnage ~ / .config / google-chrome / डिफ़ॉल्ट / प्राथमिकताएं या ~ / .config / क्रोमियम / डिफ़ॉल्ट / प्राथमिकताएं और इसे सेट करें:

{
   ...
   "enable_referrers": false,
   ...
}

या बस शॉर्टकट या क्ली में --no-referrers जोड़ें:

google-chrome --no-referrers

ओपेरा:

पूरी तरह से अक्षम: सेटिंग्स> प्राथमिकताएं> उन्नत> नेटवर्क, और अनचेक करें "रेफरर जानकारी भेजें"

स्पूफिंग वेब सेवा:

http://referer.us/

स्टैंडअलोन फ़िल्टरिंग प्रॉक्सी (किसी भी शीर्षलेख को धोखा देना):

Privoxy

Wget का उपयोग करते समय http_referer spoofing

'--referer = url'

कर्ल का उपयोग करते समय http_referer spoofing

-ई, - क्रेफर

Spoofing http_referer wth telnet

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)




http-referer