क्या मैं अपने वेब एप्लिकेशन में Referer HTTP शीर्षलेख पर भरोसा कर सकता हूं? मैं यह जांचना चाहता हूं कि उपयोगकर्ता किसी विशेष डोमेन/वेबपृष्ठ से आया है, और यदि उसने किया है, तो तदनुसार मेरी साइट का लेआउट बदलें।क्या मैं रेफरर HTTP शीर्षलेख पर भरोसा कर सकता हूं?
मुझे पता है कि लोग अपने ब्राउज़र में Referer अक्षम कर सकते हैं। कोई विचार यह है कि उपयोगकर्ता कितनी बार ऐसा करते हैं? क्या मैं 99% में मौजूद Referer पर भरोसा कर सकता हूं?
जब तक आपके पास उचित मूल्य नहीं है, तब तक जब आपके पास कोई उचित मूल्य नहीं है, और आप इसके आधार पर कुछ भी संवेदनशील नहीं कर रहे हैं, तो शायद यह ठीक है।
एक दुर्भावनापूर्ण उपयोगकर्ता उस शीर्षलेख को जो भी चाहें उसे सेट कर सकता है। मुझे उम्मीद है कि अधिकांश उपयोगकर्ता अपने ब्राउज़र के डिफ़ॉल्ट व्यवहार को संशोधित नहीं करते हैं, इसलिए शायद यह अधिकतर समय और सटीक सटीक है।
शायद कुछ ऐसे मामले भी हैं जहां HTTPS और HTTP के बीच स्विचिंग एक रेफरर हेडर को नहीं भेजा जाएगा।
मूल रूप से आप यहां प्रश्न को फिर से व्यवस्थित कर रहे हैं। – stefan
एक सामान्य नियम के रूप में, आप चाहिए नहीं विश्वास HTTP महत्व के किसी भी बात के लिए Referer हेडर, अपने दर्शकों के हैं या जो जब अपनी खुद की साइट के उपयोगकर्ताओं के बीच व्यवहार के पैटर्न की तलाश की विशुद्ध रूप से जानकारीपूर्ण सांख्यिकीय विश्लेषण के अलावा ।
किसी भी परिस्थिति में यह सलाह दी जाती है कि आप एएए (प्रमाणीकरण, प्रमाणीकरण और लेखांकन) के लिए इस हेडर का उपयोग न करें, जब तक कि ऊपर टिप्पणी की गई हो, आप अपने आगंतुक के व्यवहार के सरल यातायात विश्लेषण को लेखांकन पर विचार करते हैं।
OWASP (ओपन वेब अनुप्रयोग सुरक्षा परियोजना) यह मानता है एक "Vulnerabilty" Referer header for AAA in your Web Application का उपयोग कर। Referer हेडर पर विश्वास नहीं करने
कुछ अन्य और अधिक विशिष्ट कारणों में शामिल हैं:
आम तौर पर जब एक HTTP से "जोड़ने" < -> HTTPS (TLS) कनेक्शन, सबसे मानक वेब ब्राउज़र होगा इस हेडर को सूचित न करें।
गोपनीयता कारणों से, कई कॉर्पोरेट प्रॉक्सी इस हेडर को हटाने/पट्टी करने के लिए कॉन्फ़िगर किए गए हैं, इसलिए यदि कोई वेब ब्राउज़र इस हेडर को भेजता है, तो एक कॉर्पोरेट प्रॉक्सी सॉफ़्टवेयर इसे हटा सकता है।
जंगली सुरक्षा समाधान, मैलवेयर, अनुप्रयोगों में एम्बेडेड ब्राउज़र में बाहर ... इस हेडर की सामग्री को संशोधित करने और/या धोखा देने के लिए जाना जाता है।
खबरदार कि:
क्या आपके पास HTTPS से HTTPS तक "यहां तक कि जब भी लिंकिंग" का स्रोत है, डोमेन नाम या नेटवर्क पता गंतव्य बदलते समय अधिकांश मानक वेब ब्राउज़र इस शीर्षलेख को सूचित नहीं करेंगे। " ? मैं इसके बारे में और जानना चाहता हूं। – tom
@tom इंगित करने के लिए धन्यवाद! पैराग्राफ वास्तव में मेरे द्वारा किए गए अपरिपक्व अर्थ में गलत टाइप किया गया था। मैंने अब इसे अपडेट किया है। किसी भी तरह, यह एक मुश्किल विषय है और मेरा जवाब पुराने (कुछ साल पहले) में इसका प्रतिनिधित्व करता है। अपनी खुद की जांच के लिए कुछ दिलचस्प लिंक: http://smerity.com/articles/2013/where_did_all_the_http_referrers_go.html और https://isc.sans.edu/forums/diary/When+does+your+browser+send+a+ संदर्भित + हैडर + या + नहीं/16433 / –
मैं इसे पूरी तरह अटकलों और झुकाव से दूर कर रहा हूं, लेकिन मुझे लगता है कि इंटरनेट पर उपयोगकर्ताओं के भारी बहुमत अपने ब्राउज़र में किसी भी सेटिंग्स को संशोधित नहीं करते हैं, अकेले रेफरर को छोड़ दें। मुझे लगता है कि यह आपके लक्षित दर्शकों यानी पर आधारित होगा। वरिष्ठ नागरिक बनाम हैकर्स। संभावना के दो चरम सीमाओं के लिए। – BVSmallman
संभावित डुप्लिकेट [HTTP_REFERER कितना विश्वसनीय है] (http://stackoverflow.com/questions/6023941/how-reliable-is-http-referer) –
आपका प्रश्न यहां अच्छी तरह से उत्तर दिया गया है: http: // stackoverflow।कॉम/प्रश्न/6023941/कैसे-विश्वसनीय-है-http-referer – favoretti