ウェブアプリケーションでReferer HTTPヘッダーを使用できますか?ユーザーが特定のドメイン/ Webページから来たものかどうかを確認したい場合は、それに応じて自分のサイトのレイアウトを変更します。Referer HTTPヘッダーに頼ることはできますか?
私は人々が彼らのブラウザでRefererを無効にすることができることを知っています。どのくらいの頻度でユーザーがそれを行うのですか? Refererが99%に存在していると私は頼りにしていますか?
は限り使用可能な値がないときは、合理的なデフォルトの動作を持っている、そしてあなたはそれに基づいて敏感な何もしていないとして、それはおそらく大丈夫です。
悪意のあるユーザーが、そのヘッダーを必要なものに設定できます。私は、ほとんどのユーザーがブラウザのデフォルトの動作を変更しないと予想しています。
もおそらくない送信するRefererヘッダを引き起こしますHTTPSとHTTPの切り替えいくつかの例があります。
あなたは基本的に質問自体をここに再書いています。 – stefan
は、あなたの訪問者が誰の情報統計的な分析をしているか、自分のサイトのユーザーの行動パターンを探す場合を除いて、HTTP Refererヘッダーを信頼してはいけません。
上記のように、ビジターの行動の単純なトラフィック分析を考慮する場合を除いて、このヘッダーをAAA(認証、認可、アカウンティング)に使用することはお勧めできません。
OWASP(オープンWebアプリケーションセキュリティプロジェクトは)それReferer header for AAA in your Web Applicationを使用して "Vulnerabilty" と見なします。リファラーヘッダーを信用しない
他のいくつかの、より具体的な理由は、次のとおりです。一般的には
、< HTTPから「リンク」するとき - > HTTPS(TLS)接続、最も標準的なWebブラウザがしますこのヘッダーを通知しない。
プライバシー保護の理由から、多くの企業プロキシはこのヘッダーを削除/削除するように設定されているため、Webブラウザがこのヘッダーを送信しても企業のプロキシソフトウェアによって削除されることがあります。
野生のセキュリティソリューションでアウト、マルウェアは、アプリケーションに埋め込まれたが...変更および/またはこのヘッダの内容でカンニングをすることが知られているブラウザ。
ことに注意してください:HTTPSからHTTPSへの「リンク」すると
「HTTPSからHTTPSへの「リンク」を行っても、ほとんどの標準Webブラウザは、ドメイン名またはネットワークアドレスの宛先を変更するときにこのヘッダーを通知しません。 ?私はそれについてもっと学びたいと思います。 – tom
@tom指摘ありがとう!パラグラフは、私が意図したような意味で誤入力されていました。私は今それを更新しました。とにかく、これは難しい話題です。私の答えは古い(数年前の)研究を反映しています。あなた自身の調査のためのいくつかの興味深いリンク:http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.htmlとhttps://isc.su.forums/diary/When+does+your+browser+send+a+リファラー+ヘッダー+または+ not/16433 / –
私はこれを根本的に推測していませんが、私はインターネット上の圧倒的多数のユーザーがRefererだけでなくブラウザの設定を変更しないと思います。私はそれがあなたのターゲットオーディエンスに基づいていると思います。高齢者対ハッカー。尤度の2つの極端な点について – BVSmallman
可能複製[どのように信頼性の高いHTTP_REFERER](http://stackoverflow.com/questions/6023941/how-reliable-is-http-referer) –
ご質問はうまくここに回答されます。http:// stackoverflowの。com/questions/6023941/how-reliable-is-http-referer – favoretti