看好你的门-客户端传数据(4)-利用浏览器调整http的referer

首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。

1、 简单说明

在互联网中,大量的数据通过URL参数的方式进行传递,大部分的数据,是没有通过加密进行传输。在我所了解到的情况,大部分的数据是通过明码进行…
当然,现在大家都知道,URL参数,安全性不是特别高,于是http信息头(包含referer等属性)进入了大家的视野。

Referer用来表明,浏览器向 WEB 服务器表明自己来自哪里。

2、 观点:

根据w3.org标准,http信息头完全是可选的。也就是,Referer属性也是可以变化的。
在工作的时候,我们很多的时候需要去模拟referer被修改的情况,比如我们的页面被百度收录或者被其他搜索引擎收录,如果我们把所有的其他来源的referer都屏蔽,那么岂不是自绝与人民? :)

时候我们需要修改页面的referer来源来模拟google或者百度或者其他网站的跳转。
比较简单粗暴的方法,比如利用chrome浏览器。
打开chrome浏览器,输入关键词“恭喜发财”,随便选择一个结果,右键点击“审查元素”,看到
是一大串类似:href=http://www.baidu.com/link?url=WzFUXPfNYdPlOwgYv0365ygF8PyiQkei6N9oih9v8WvgM_pnUHavjdgfJ6RVd_-1GWkZrYzVnGcCrDd5cF5MOq&wd=%E6%81%AD%E5%96%9C%E5%8F%91%E8%B4%A2&issp=1&f=8&ie=utf-8&tn=baiduhome_pg&inputT=4466 的东东,右键点击修改属性。
修改为:href=”http://127.0.0.1:8080/webStudy/http_accept.jsp”
然后在百度上点击这一条的“恭喜发财”结果,进入了我们的的测试页面。 (具体代码参考 看好你的门-客户端传数据(3)-http信息头 )
进入了我们自己的页面:

user-agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36
referer:https://www.baidu.com/s?wd=%E6%81%AD%E5%96%9C%E5%8F%91%E8%B4%A2&rsv_spt=1&issp=1&f=8&rsv_bp=0&rsv_idx=2&ie=utf-8&tn=baiduhome_pg&rsv_enter=1&rsv_sug3=22&rsv_sug1=15&rsv_sug2=0&inputT=4466&rsv_sug4=5662

注意看:referer 已经变成了https://www.baidu.com

3、 利用firfox的 插件

Firfox浏览器的插件是可以修改页面的referer的,这个插件名字叫做RefControl
1. 安装方式,直接在Firfox中搜索插件,点击”添加至Firefox”;
2. 设置方式:使测试环境的链接都改写为来自baidu
3. 查看方式:浏览器下方状态栏右键后选择“在状态栏显示 Referer”

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。