HTTP 引荐来源网址陷阱？

Question

我需要确保我的网页始终位于第三方拥有的 iframe 内。 该第三方使用 src="../index.php" 引用我们的登陆页面。

现在我的问题是，如果我使用引荐来源网址来确保该页面是由我自己或第三方请求的，并且如果不强制重新加载第 3 方网站，是否有我应该注意的重大问题？

例如，是否有某些常见浏览器不遵循引用规则？

谢谢。

Answer 1

另外，它是 REFERER 因为它在规范中不知何故拼写错误。 这是我的第一个 REFERER 问题。

Answer 2

您可以执行此操作的唯一方法是直接授权请求，因为引用者操纵。

如果您想宽松，或者要求包含的客户端，您可以将请求限制为一组IP地址/system 对于 iframe 中显示的请求有一个身份验证 cookie。

祝你好运

Answer 3

不需要推荐人。 如果浏览器不提供它，那么您将陷入无限的重定向循环。 Referrer 实际上是“自愿的”，就像 cookies、java 和 javascript 一样。

虽然。 您可以保留 IP 和 IP 的日志。 最后重定向的时间。 删除超过 5 分钟的日志，并且每 5 分钟重定向一次以上。 您应该捕获 99.9% 的用户，但避免其余用户出现无限重定向循环。 日志不能依赖于浏览器中的任何内容（这是最初的问题），因此没有 cookie 也没有会话。 一个简单的 2 列数据库表就足够了。

Answer 4

由于引用者欺骗，您不能使用引用者来“确保”网页始终从其他地方调用。

Answer 5

即使是众所周知的格式也可能会改变......

谷歌显然已经改变了它的引用网址。 2009 年 4 月 14 日，Google.com 即将发生的变化搜索推荐； Google Analytics（分析）不受影响：

从本周开始，您可能会开始看到针对来自 Google 搜索结果页的访问者的新引荐网址格式。 例如，到目前为止，点击“鲜花”搜索结果的通常引荐来源网址将如下所示：

 http://www.google.com/search?hl=en&q=flowers&btnG=Google+Search

现在您将开始看到一些如下所示的引用字符串：

 http://www.google.com/url? 
      sa=t&源=web&ct=res&cd=7 
      &url=http%3A%2F%2Fwww.example.com%2Fmypage.htm 
      &ei=0SjdSa-1N5O8M_qW8dQN&rct=j 
      &q=鲜花 
      &usg=AFQjCNHJXSUh7Vw7oubPaO3tZOzz-F-u_w 
      &sig2=X8uCFh6IoPtnwmvGMULQfw

另请参阅 Google 正在将其引用网址从 /search 更改为 /url .任何已知问题？）

Answer 6

请注意，每当用户通过 JavaScript 导航到链接时，Internet Explorer（所有版本）都会专门省略 HTTP REFERRER。 （错误报告)

例如

function doSomething(url){
  //save some data to the session
  //...
  location.href = url;//IE will NOT pass the HTTP REFERRER on this link
}