security - HTTP_REFERER कौन से मामलों में खाली होगा




http-headers cross-domain (3)

HTTP_REFERER - ब्राउजर द्वारा भेजा गया, ब्राउज़र को देखे गए अंतिम पृष्ठ को बताते हुए!

यदि आप किसी भी कारण से [HTTP_REFERER] पर भरोसा करते हैं, तो आपको यह नहीं करना चाहिए, क्योंकि इसे आसानी से फिक्र किया जा सकता है:

  1. कुछ ब्राउज़र HTTP_REFERER को पारित करने की अनुमति न देने के लिए पहुंच सीमित करते हैं
  2. पता बार में एक पता टाइप करें HTTP_REFERER पास नहीं करेगा
  3. एक नई ब्राउज़र विंडो खोलें HTTP_REFERER को पास नहीं करेगा, क्योंकि HTTP_REFERER = NULL
  4. कुछ ब्राउज़र एडन है जो गोपनीयता कारणों से इसे अवरुद्ध करता है। कुछ फ़ायरवॉल और एवी करते हैं।

इस फ़ायरफ़ॉक्स एक्सटेंशन को आज़माएं, आप जो भी हेडर चाहते हैं उसे सेट करने में सक्षम होंगे:

@ मस्टर ऑफ़ उत्सव:

फ़ायरफ़ॉक्स:

एक्सटेंशन: refspoof , refontrol , हेडर संशोधित करें , no-referer

पूरी तरह से अक्षम: विकल्प "network.http.sendRefererHeader" के अंतर्गत कॉन्फ़िगरेशन में उपलब्ध है: और आप इसे रेफरर पासिंग अक्षम करने के लिए 0 पर सेट करना चाहते हैं।

Google क्रोम / क्रोमियम:

एक्सटेंशन: noref , spoofy , बाहरी noreferrer

पूरी तरह से अक्षम: Chnage ~ / .config / google-chrome / डिफ़ॉल्ट / प्राथमिकताएं या ~ / .config / क्रोमियम / डिफ़ॉल्ट / प्राथमिकताएं और इसे सेट करें:

{
   ...
   "enable_referrers": false,
   ...
}

या बस शॉर्टकट या क्ली में --no-referrers जोड़ें:

google-chrome --no-referrers

ओपेरा:

पूरी तरह से अक्षम: सेटिंग्स> प्राथमिकताएं> उन्नत> नेटवर्क, और अनचेक करें "रेफरर जानकारी भेजें"

स्पूफिंग वेब सेवा:

http://referer.us/

स्टैंडअलोन फ़िल्टरिंग प्रॉक्सी (किसी भी शीर्षलेख को धोखा देना):

Privoxy

Wget का उपयोग करते समय http_referer spoofing

'--referer = url'

कर्ल का उपयोग करते समय http_referer spoofing

-ई, - क्रेफर

Spoofing http_referer wth telnet

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)

मुझे पता है कि एक खाली HTTP_REFERER प्राप्त करना संभव है। यह किस परिस्थिति में होता है? अगर मुझे खाली मिलता है, तो क्या इसका हमेशा मतलब है कि उपयोगकर्ता ने इसे बदल दिया? एक खाली एक प्राप्त करने के समान एक खाली हो रही है? और मुझे किस परिस्थिति में भी मिलता है?


एंडुसर होने पर यह खाली / खाली हो सकता है

  • ब्राउजर एड्रेस बार में साइट यूआरएल दर्ज किया गया।
  • ब्राउज़र-बनाए गए बुकमार्क द्वारा साइट पर गए।
  • विंडो / टैब में पहले पृष्ठ के रूप में साइट का दौरा किया।
  • एक https यूआरएल से एक http यूआरएल में स्विच किया गया।
  • एक https यूआरएल से एक अलग https यूआरएल में स्विच किया गया।
  • सुरक्षा सॉफ्टवेयर स्थापित है (एंटीवायरस / फ़ायरवॉल / आदि) जो सभी अनुरोधों से रेफरर को स्ट्रिप करता है।
  • एक प्रॉक्सी के पीछे है जो सभी अनुरोधों से रेफरर को स्ट्रिप करता है।
  • रेफरर हेडर (सर्चबॉट्स!) सेट किए बिना प्रोग्राम प्रोग्रामेटिक (जैसे, curl ) का दौरा किया।

यदि रेफरर हेडर अनुरोध मूल पर भेजा जाता है तो यह रोकने के लिए नया रेफरर पॉलिसी मानक ड्राफ्ट का उपयोग किया जाता है, तो यह भी खाली होगा। उदाहरण:

<meta name="referrer" content="none">

हालांकि क्रोम और फ़ायरफ़ॉक्स ने पहले से ही रेफरर पॉलिसी का मसौदा संस्करण लागू कर लिया है, आपको इसके साथ सावधान रहना चाहिए क्योंकि उदाहरण के लिए क्रोम none बजाए no-referrer अपेक्षा करता है (और मैंने never भी कहीं never देखा है)।





http-referer