HTTP请求头referer
本人微信公众号:前端修炼之路,欢迎关注。
前言
前几日用form
表单提交一个留言,发现一个奇怪的问题。
留言板有个来源的字段,用来获取网页的地址。测试时发现在谷歌Chrome浏览器中,可以正确获取到网址来源,然后用火狐Firefox浏览器,却无法正确获取到网址来源。因为后台使用的是PHP,留言成功之后通过JS弹出alert
提示框,然后再通过location.href
跳转回留言页面。
所以后台就需要准确的获取到留言页面的地址,但是后台并没有正确的获取到留言页面地址。这是为啥呢❓❓❓
Chrome浏览器和Firefox浏览器对比
看了后台获取来源的代码之后,了解到是通过$_SERVER["HTTP_REFERER"]
这个PHP变量获取的。然后就去翻PHP文档,找到了HTTP_REFERER
变量的文档说明:
引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改
HTTP_REFERER
的功能。简言之,该值并不可信。
去百度百科里面,又看到如下内容:
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
从上面的论述中我们可以得到如下几点结论:
-
http_referer
由浏览器生成,并不是所有浏览器都会设置该值。 -
http_referer
可以伪造,并不可信。
通过谷歌和火狐浏览器自带的调试工具,可以看到HTTP
请求头信息
从上图可以发现,Chrome浏览器中的请求头中的Referer地址为详细的页面地址信息,而Firefox浏览器中的请求头中的Referer地址,却只显示了域名信息。
难道是Firefox浏览器设置的问题吗? 所以我又去Stackoverflow查找了一番。
从上图可以得出两个结论:
-
HTTP_REFERER
这个变量真是不可信 - Firefox浏览器允许用户修改这个字段
那在Firefox浏览器中怎么修改这个字段呢?
在火狐浏览器中输入about:config
,然后搜索network.http.send
,找到network.http.senRefererHeader
,将这个字段值修改为0,就会禁止浏览器发送refer
信息。
HTTP_REFERER的用途
HTTP_REFERER
提供了引导用户代理到当前页的前一页的地址信息。
常见的一些应用场景有:
- 统计文章来源。例如有多少次是来自谷歌搜索结果,多少次来自百度搜索结果等。
- 图片防盗链。不是自己站点上的访问,图片显示404等。
如果你经常写博客,就一定会遇到盗用你辛辛苦苦整理过的文章不跟你打任何招呼甚至连原文链接都一并抹除的网站,文字这个层面我们没法控制,但是图片这个层面我们是可以控制的。
举个例子,如果你也曾复制过一些类似腾讯等网站的文章,你会发现黏贴下来发表之后经常出现图片无法显示,这是如何做到的呢?
场景:a站点的图片全部存储在c站点(云服务器)上,c站点将识别调用方是否来自a站点,否则显示一张错误图片,b站是盗图网站。a站和b站的代码一致,如下所示:
<img src="http://www.c.com/image.php?fname=jb.png" width="500px" height="500px" />;
重点是c站的代码,如下所示:
<?php
if(strpos($_SERVER['HTTP_REFERER'], 'www.a.com') !== false){
//以下的写法并不严谨,这里只是做测试
if(file_exists($_GET['fname'])){
echo file_get_contents($_GET['fname']);
}
}
这样当a站访问时图片可以正常显示,而b站访问时图片是显示不出来的。
PHP $_SERVER'HTTP_REFERER' 无效
通常下面的一些方式,$_SERVER['HTTP_REFERER']
会无效:
- 直接输入网址访问该网页。
- Javascript 打开的网址。
- Javascript 重定向(window.location)网址。
- 使用 meta refresh 重定向的网址。
- 使用 PHP header 重定向的网址。
- flash 中的链接。
- 浏览器未加设置或被用户修改。
所以一般来说,只有通过 <a></a>
超链接以及 POST
或 GET
表单访问的页面,$_SERVER['HTTP_REFERER']
才有效。
结论
遇到的这个问题,本来以为是前端造成,代码哪里有问题,没有给后端发送正确的来源。通过百度和查找PHP手册发现,这个问题只能通过后端PHP修改。
而HTTP_REFERER
这个变量其实也是HTTP
协议中相关知识。然后又因为不同的浏览器客户端对请求头处理规则不一样,所以造成了这个问题。
也因为这个问题,补充了一个知识点,就是图片防盗链的基本原理。所以遇到一个问题后,通过学习可以补充不少相关联的知识点。✌️
本文参考、翻译了以下文章,并进行了整理。
参考链接:
References
^1 PHP $_SERVER 手册:https://www.php.net/manual/zh/reserved.variables.server.php
^2 HTTP_REFERER的用法及伪造:https://blog.csdn.net/u011250882/article/details/49679535
^3 How reliable is HTTP_REFERER?:https://stackoverflow.com/questions/6023941/how-reliable-is-http-referer
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 写一个函数,2 个参数,1 个字符串,1 个字节数,返回截取的字符串,要 求字符串中的中文不能出现乱码
- Java 编程,打印昨天的当前时刻.
- git merge后 丢失文件 以及 代码
- 树莓派基础实验12:PCF8591模数转换器实验
- spring boot多数据源的代码实现
- 树莓派基础实验13:雨滴探测传感器实验
- Java中的TCP通信程序
- Java实现一个简单的文件上传案例
- 树莓派基础实验14:PS2操纵杆实验
- Java反射
- Java Request(域对象+请求转发+原理)详解
- PHP命令执行学习总结
- win10 专业版 提示开机提示你的windows许可证即将过期
- 浅谈文件上传漏洞(其他方式绕过总结)
- 《sql必知必会》——读书笔记(1)