2011-05-16 25 views

Respuesta

40

El uso de HTTP_REFERER no es confiable, su valor depende del encabezado HTTP Referer enviado por el navegador o la aplicación cliente al servidor y, por lo tanto, no se puede confiar.

En cuanto a los Referer de cabecera, sección 15.1.2 of RFC2616 estados:

Por lo tanto, las aplicaciones deben suministrar tanto control sobre esta información como sea posible para el proveedor de dicho información.

y

Sugerimos, aunque no requerimos, que una interfaz de palanca conveniente ser proporcionado para el usuario para activar o desactivar el envío de De y información de referencias.

Muchas herramientas de privacidad en línea reducen este valor y muchos navegadores como FireFox han permitido durante mucho tiempo a los usuarios evitar que se envíe este encabezado. Entonces, en pocas palabras, no confiaría en él para ningún propósito serio. Por ejemplo, proteger formularios para que los remitentes de correo no deseado no puedan publicar valores, ya que el Referer puede ser falso.

Para mayor información ver:

Using referer field for authentication or authorization (WayBackMachine)

+0

acuerdo árbitro no es fiable y no es seguro, pero confía en mí que hace su trabajo bastante bien en la reducción de correo no deseado. –

+0

El último enlace está muerto. – danrah

+1

@danrah - reparado. Pero si encuentra enlaces muertos, eche un vistazo y vea si están en WayBackMachine (http://archive.org) y luego simplemente actualice la publicación con la copia de archivo más reciente disponible de la página. – Kev

Cuestiones relacionadas