Насколько надежен HTTP REFERER?
Мне нужно проверить и записать реферер посетителей моего веб-приложения. Насколько надежно использование HTTP_REFERER? А есть ли другие альтернативы?
1 ответов
используя HTTP_REFERER не является надежным, его значение зависит от HTTP Referer заголовок, отправленный браузером или клиентским приложением на сервер, и поэтому ему нельзя доверять.
о Referer заголовок раздела 15.1.2 по адресу rfc2616 гласит:
поэтому, применения должны поставить столько контроля над этой информацией насколько это возможно для провайдера информация.
и
мы предлагаем, хотя не требуем, что удобный интерфейс переключения быть предоставлено пользователю для включения или отключить отправку From и Referer информация.
многие онлайн-инструменты конфиденциальности искажают это значение, и многие браузеры, такие как FireFox, долгое время разрешали пользователям предотвращать отправку этого заголовка. Короче говоря, я бы не стал полагаться на него ни в каких серьезных целях. Например, защита форм, чтобы спамеры drive-by не могли публиковать значения, потому что Referer можно подделать.
для дальнейшего чтения смотрите:
использование поля referer для аутентификации или авторизации (WayBackMachine)