精华内容
下载资源
问答
  • 这段时间一直研究怎么才能在 webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是通过...

    这段时间一直研究怎么才能在  webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是通过js文件进行统计的,这样就形成了伪造来路的不成功,具体为什么不成功就让下面的一篇文章说明吧!

    众所周知,服务器端的referer来路是可以伪造的,无论是ASP、PHP还是其他脚本都是可以伪造referer的,一些下载软件更是把referer伪造的惟妙惟肖,利用webbrowser控件可以方便的伪造来路。那么,作为保护网站的守门人,它如何防止这些伪造的referer呢?

    这里,利用的是 Javascript 这一利器。

    上面提到的伪造referer的方法都是通过服务器端的脚本来实现的,但它们并不能欺骗客户端。而JS是在客户端执行的,它并不会理会服务器端的headers信息,所以,利用js的 document.referer 方法可以准确地判断网页的真实来路。

    几乎所有的第三方统计不约而同地采用了 document.referer 来判断来路,为什么?正是基于 js 下的 referer来路 是不可伪造的。即使在服务器端成功地伪造了referer的网页脚本,在第三方统计里也是无法被统计到的,原因正是由于这些三方统计采用了 document.referer 来判别真实的来路。

    所以,为了对抗虚假的 referer 伪造信息,统计代码需要利用 js 的 document.referer 来判别,就可以将伪造的信息拒之门外

    据目前所知,到目前为止,js下是无法伪造 referer 的。

    那么有人问了,如果客户端把JAVASCRIPT脚步甚至cookies关闭了,你还怎么判断这个referer?其实答案也很简单,就是 js 和 asp/php 脚本之间通过 操作cookies 这个中间桥梁来实现,js里把这个referer写入cookies,asp/php读取这个cookies,如果读取不到这个cookies,则判断非本站来路。

    展开全文
  • HTTP_REFERER有效和无效的情况

    千次阅读 2016-02-24 11:36:27
    HTTP_REFERER有效和无效的情况 页面跳转服务器获取http头时,有时有 HTTP_REFERER,而有时又没有,下面整理了一些 http_referer 的使用注意情况: 【准备】 http://www.libaqiang.com下test.php文件 echo $_...

    HTTP_REFERER有效和无效的情况


    页面跳转服务器获取http头时,有时有 HTTP_REFERER,而有时又没有,下面整理了一些 http_referer 的使用注意情况:

    【准备】

    http://www.libaqiang.com下test.php文件

    echo $_SERVER['HTTP_REFERER'];

    【有效的情况】
    1、以iframe 形式调用地址

    2、以window.open调用,打开新页面
    window.open(url);

    3、使用window.location.replace在Firefox 和Chrome下可以获取HTTP_REFERER

    window.location.replace(url);

    4、使用window.location.href在Firefox 和Chrome下可以获取HTTP_REFERER
    window.location.href = url;

    5、使用A标签跳转可以获取HTTP_REFERER
    你可以用js来创建a连接后激活点击事件。

    【无效的情况】
    1、使用函数 file_get_contents或file等函数调用URL地址,这个地址所在的文件无法获取HTTP_REFERER

    2、使用window.location.replace在IE6、IE7、IE8下无法获取HTTP_REFERER
    window.location.replace(url);

    3、使用window.location.href在IE6、IE7、IE8下无法获取HTTP_REFERER
    window.location.href = url

    IE是个大悲剧。

    展开全文
  • 这段时间一直研究怎么才能在 webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是通过...

    这段时间一直研究怎么才能在  webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是通过js文件进行统计的,这样就形成了伪造来路的不成功,具体为什么不成功就让下面的一篇文章说明吧!

    众所周知,服务器端的referer来路是可以伪造的,无论是ASP、PHP还是其他脚本都是可以伪造referer的,一些下载软件更是把referer伪造的惟妙惟肖,利用webbrowser控件可以方便的伪造来路。那么,作为保护网站的守门人,它如何防止这些伪造的referer呢?

    这里,利用的是 Javascript 这一利器。

    上面提到的伪造referer的方法都是通过服务器端的脚本来实现的,但它们并不能欺骗客户端。而JS是在客户端执行的,它并不会理会服务器端的headers信息,所以,利用js的 document.referer 方法可以准确地判断网页的真实来路。

    几乎所有的第三方统计不约而同地采用了 document.referer 来判断来路,为什么?正是基于 js 下的 referer来路 是不可伪造的。即使在服务器端成功地伪造了referer的网页脚本,在第三方统计里也是无法被统计到的,原因正是由于这些三方统计采用了 document.referer 来判别真实的来路。

    所以,为了对抗虚假的 referer 伪造信息,统计代码需要利用 js 的 document.referer 来判别,就可以将伪造的信息拒之门外

    据目前所知,到目前为止,js下是无法伪造 referer 的。

    那么有人问了,如果客户端把JAVASCRIPT脚步甚至cookies关闭了,你还怎么判断这个referer?其实答案也很简单,就是 js 和 asp/php 脚本之间通过 操作cookies 这个中间桥梁来实现,js里把这个referer写入cookies,asp/php读取这个cookies,如果读取不到这个cookies,则判断非本站来路。

    展开全文
  • use_referer: true username_parameter: _email logout: path: logout target: / </code></pre> <p>I've checked the profiler for HTTP_REFERRER and i've got the correct referer. However upon login, it ...
  • 在接入H5微信支付时,如果是APP里调起H5支付,需要在webview中手动设置referer,如下 Map extraHeaders = new HashMap(); extraHeaders.put("Referer", "商户申请H5时提交的授权域名");//...

    最近在接入H5微信支付时遇到了一个比较坑的问题,所以写篇总结

    问题描述


    在接入H5微信支付时,如果是APP里调起H5支付,需要在webview中手动设置referer,如下

    Map extraHeaders = new HashMap();
    extraHeaders.put("Referer", "商户申请H5时提交的授权域名");//例如 http://www.baidu.com 
    webView.loadUrl(targetUrl, extraHeaders);//targetUrl为微信下单地址

    因为微信要验证请求来源,所以如果这个地方没有去设置的话,会跳转如下页面中
    这里写图片描述

    但是测试过程中发现一个兼容性问题:在4.4.4、4.4.3的设备上,下单时一直会跳转到上面的页面中。后来通过抓包发现设置的Referer没有生效。。。

    解决方案


    google了一大圈最终发现了一个靠谱的解决方案,就是利用loadDataWithBaseURL方法代替loadUrl方法,通过js去请求微信下单Url,loadDataWithBaseURL方法的具体描述如下

    public void loadDataWithBaseURL(String baseUrl, String data, String mimeType, String encoding, String historyUrl)

    data可以是Html代码片。baseUr为页面的基础Url,用来组织html中的相对路径。我们data这个参数中传入js代码片去请求微信下单Url,而baseUr设置为授权域名,这样请求微信下单Url时,referer自动会被设置为baseUrl(正常请求的referer默认就是请求的来源地址)

    最终的代码如下

    if (("4.4.3".equals(android.os.Build.VERSION.RELEASE))
                    || ("4.4.4".equals(android.os.Build.VERSION.RELEASE))) {
         //兼容这两个版本设置referer无效的问题
         view.loadDataWithBaseURL("商户申请H5时提交的授权域名",
                        "<script>window.location.href=\"" + targetUrl + "\";</script>",
                        "text/html", "utf-8", null);
     } else {
          Map<String, String> extraHeaders = new HashMap<>();
          extraHeaders.put("Referer", "商户申请H5时提交的授权域名");
          view.loadUrl(targetUrl, extraHeaders);
     }

    希望本文能帮助到遇到相同问题的程序员们

    微信H5支付常见问题汇总
    https://pay.weixin.qq.com/wiki/doc/api/H5.php?chapter=15_4
    最后感谢提供本方案的大佬,他写的文章地址如下
    https://www.jianshu.com/p/8e138577ec8e

    展开全文
  • 这段时间一直研究怎么才能在 webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google adsense自带的统计,他们的统计都是...
  • PHP $_SERVER['HTTP_REFERER'] 无效

    千次阅读 2019-05-12 17:37:30
    学到PHP的超级全局变量时,遇到了PHP $_SERVER['HTTP_REFERER'],不料在phpstorm中运行的到如下结果: <?php $x=5; $y=10; function addtion(){ $GLOBALS["z"]=$GLOBALS["x"]+$GLOBALS["y"];/** $GLOBALS 是...
  • Android H5微信支付(或H5视频链接)webview设置referer 请求头无效问题解释和详细处理方案(附源码) 本文说明 这次也是项目中所碰到的问题总结,这次是项目需要对接新的一套第三方微信H5支付。其实开始是很简单...
  • 使用webbrowser伪造referer的方法... 这段时间一直研究怎么才能在 webbrowser中设置referer来路来伪造来路进行刷流量,可是最后研究了半个月最终以失败告终,因为现在的统计代码,比较实际的就是cnzz.com和google a...
  •   ngx_http_referer_module用于通过检测"Referer"请求头来防御CSRF漏洞,过滤掉具有无效"Referer"头的请求。   需要注意的是,使用适当的"Referer"标头值来伪造请求非常容易,因此,此模块并不能彻底组织此类...
  • 场景:我需要清除ajax请求中的refer,通过headers{ referer: '' }设置无效,因为w3c不允许这样做。 网上很多的案例都是关于axios伪造referer来控制,但是我设置的不生效 解决: 方法1:修改http协议中referer的...
  • 关键词: QQ浏览器 referrerPolicy 无效 不生效 no-referrer 有个需求写个iframe显示其他域名的网页,其他域名的页面也要带上登陆态,但是如果有referer的话,其他域名页面的后台发现有referer,且不是本域名就会报错...
  • Nginx配置404页面无效

    2019-12-09 17:22:58
    '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; ...
  • 在使用chrome的postman插件模拟http请求的时候,碰到了设置的部分Headers无效的问题,比如说Referer设置后就无效,经过查询发现了问题原因,原因的具体说明参考postman官网的文章 ...解决办法记录如下:...
  • * 更改Referer * 使用aria2旧版本1.18.8(因为看到有朋友说1.18.8正常) * 在115浏览器中使用本插件 以上方式都无效 可能的办法 我看到文本导出\存为Aria2文件的Cookie是空的,我从chrome里找到并...
  • Webpack changeOrigin 无效,不生效?

    千次阅读 2019-10-08 15:48:28
    webpack dev server 底层使用的http服务的库是 https://github.com/http-party/node-http-proxy#readme,看了下源码 ...如果有些服务有针对 header 中的 origin 或 referer 字段做判断,这时候需要额外处理,de...
  • 蛮力对抗措施无效

    2016-02-04 20:27:27
    This page reads Referer, if valid according to my programming does as follows: Common form user/pass/captcha/csrf key checked against database; <pre><code>if($userisfound==1) { echo 'welcome to our ...
  • $url = $_SERVER['HTTP_REFERER']; header( "Location: $url" ); //<--not working exit; } ?>"/> <item id="end" value=""/> </data> </code></pre> <p>I have $s in script..all i ...

空空如也

空空如也

1 2 3 4
收藏数 67
精华内容 26
关键字:

无效referer