2.浏览器的请求头部的 Referer 信息是否适合 Session 欺骗的防护?为什么?
时间: 2024-02-26 07:54:07 浏览: 149
关于request.getHeader(Referer)的问题探讨
5星 · 资源好评率100%
浏览器的请求头部的 Referer 信息并不适合 Session 欺骗的防护,因为 Referer 信息可以被伪造,攻击者可以通过修改 HTTP 请求头部中的 Referer 字段来篡改请求来源,从而绕过一些基于 Referer 的防护措施。
例如,攻击者可以通过在自己的网站页面中插入一个隐藏的 iframe,然后将 iframe 的来源设置为被攻击网站,这样当用户访问被攻击网站时,浏览器会向被攻击网站发送带有正确 Referer 信息的请求,从而欺骗服务器,绕过了一些基于 Referer 的防护措施。
因此,建议在防护 Session 欺骗时,不要仅仅依赖于 Referer 信息,而应该采用更加可靠和安全的措施,如使用 HTTPS 协议、在客户端存储 SessionID 时加密、设置 Cookie 的 HttpOnly 属性等。
阅读全文