Насколько надежен HTTP REFERER?

Мне нужно проверить и записать реферер посетителей моего веб-приложения. Насколько надежно использование HTTP_REFERER? А есть ли другие альтернативы?

1 ответов


используя HTTP_REFERER не является надежным, его значение зависит от HTTP Referer заголовок, отправленный браузером или клиентским приложением на сервер, и поэтому ему нельзя доверять.

о Referer заголовок раздела 15.1.2 по адресу rfc2616 гласит:

поэтому, применения должны поставить столько контроля над этой информацией насколько это возможно для провайдера информация.

и

мы предлагаем, хотя не требуем, что удобный интерфейс переключения быть предоставлено пользователю для включения или отключить отправку From и Referer информация.

многие онлайн-инструменты конфиденциальности искажают это значение, и многие браузеры, такие как FireFox, долгое время разрешали пользователям предотвращать отправку этого заголовка. Короче говоря, я бы не стал полагаться на него ни в каких серьезных целях. Например, защита форм, чтобы спамеры drive-by не могли публиковать значения, потому что Referer можно подделать.

для дальнейшего чтения смотрите:

использование поля referer для аутентификации или авторизации (WayBackMachine)