程序员人生 网站导航

看好你的门-客户端传数据(4)-利用浏览器调整http的referer

栏目:互联网时间:2015-04-08 08:27:41

首先需要声明,本文纯属1个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。

1、 简单说明

在互联网中,大量的数据通过URL参数的方式进行传递,大部份的数据,是没有通过加密进行传输。在我所了解到的情况,大部份的数据是通过明码进行…
固然,现在大家都知道,URL参数,安全性不是特别高,因而http信息头(包括referer等属性)进入了大家的视野。

Referer用来表明,阅读器向 WEB 服务器表明自己来自哪里。

2、 观点:

根据w3.org标准,http信息头完全是可选的。也就是,Referer属性也是可以变化的。
在工作的时候,我们很多的时候需要去摹拟referer被修改的情况,比如我们的页面被百度收录或被其他搜索引擎收录,如果我们把所有的其他来源的referer都屏蔽,那末岂不是自绝与人民? :)

时候我们需要修改页面的referer来源来摹拟google或百度或其他网站的跳转。
比较简单粗鲁的方法,比如利用chrome阅读器。
打开chrome阅读器,输入关键词“恭喜发财”,随意选择1个结果,右键点击“审查元素”,看到
是1大串类似:href=http://www.baidu.com/link?url=WzFUXPfNYdPlOwgYv0365ygF8PyiQkei6N9oih9v8WvgM_pnUHavjdgfJ6RVd_⑴GWkZrYzVnGcCrDd5cF5MOq&wd=%E6%81%AD%E5%96%9C%E5%8F%91%E8%B4%A2&issp=1&f=8&ie=utf⑻&tn=baiduhome_pg&inputT=4466 的东东,右键点击修改属性。
修改成:href=”http://127.0.0.1:8080/webStudy/http_accept.jsp”
然后在百度上点击这1条的“恭喜发财”结果,进入了我们的的测试页面。 (具体代码参考 看好你的门-客户端传数据(3)-http信息头 )
进入了我们自己的页面:

user-agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36
referer:https://www.baidu.com/s?wd=%E6%81%AD%E5%96%9C%E5%8F%91%E8%B4%A2&rsv_spt=1&issp=1&f=8&rsv_bp=0&rsv_idx=2&ie=utf⑻&tn=baiduhome_pg&rsv_enter=1&rsv_sug3=22&rsv_sug1=15&rsv_sug2=0&inputT=4466&rsv_sug4=5662

注意看:referer 已变成了https://www.baidu.com…

3、 利用firfox的 插件

Firfox阅读器的插件是可以修改页面的referer的,这个插件名字叫做RefControl
1. 安装方式,直接在Firfox中搜索插件,点击”添加至Firefox”;
2. 设置方式:使测试环境的链接都改写为来自baidu
3. 查看方式:阅读器下方状态栏右键后选择“在状态栏显示 Referer”

------分隔线----------------------------
------分隔线----------------------------

最新技术推荐