HttpReferrer验证

最新推荐文章于 2022-04-19 20:10:05 发布
最新推荐文章于 2022-04-19 20:10:05 发布
阅读量656 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dxm809/article/details/104649982
本文介绍了一个自定义的ASP.NET MVC属性,用于确保表单提交来自同一站点,以增加安全性。通过检查请求的referrer,如果提交不是来自localhost,则抛出HttpException。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Chapter7
{
    public class IsPostedFromThisSiteAttribute:AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            if (filterContext.HttpContext!=null)
            {
                if (filterContext.HttpContext.Request.UrlReferrer==null)
                {
                    throw new System.Web.HttpException("Invalid submission");
                }

                if (filterContext.HttpContext.Request.UrlReferrer.Host!="localhost")
                {
                    throw new System.Web.HttpException("This form wasnot submitted from this site");
                }
            }
            //base.OnAuthorization(filterContext);
        }
    }
}

vue使用富文本粘贴图片和html访问图片资源的403问题(http referrer)
倚树探星的博客
04-12 2135
1、问题描述 在项目中使用富文本编辑器时,粘贴图片之后出现了一个问题,就是该图片通过地址可以打开,但是在富文本编辑器中却无法显示,报错GET https://bkimg.cdn.bcebos.com/pic/d058ccbf6c81800a0ff13a1ebe3533fa828b478d?x-bce-process=image/watermark,g_7,image_d2F0ZXIvYmFpa2U...
因浏览器未发送Referer HTTP头导致Django项目CSRF验证失败的原因
赖勇浩的编程私伙局
10-06 1071
前段时间,做了一次服务器减负的同时,也把所有的遗留网站都加上了 HTTPS 支持,让客户免受推荐 HTTPS 证书的电话骚扰(他们的话术很吓人,客户听了以后会害怕地找我,这就很让我烦心了)。因为遗留的都是企业官网,很少人会登陆更新内容,所以很久以后,客户来联系我说后台登陆不上了。
跨站请求伪造CSRF防护方法
jijithin
08-22 953
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
Referer校验
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20...
跨站请求伪造学习笔记
0xdawn的博客
01-30 480
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
http referer 验证防御方法_http协议首部---referer,标明请求来源
weixin_39678426的博客
11-29 605
1、referer 的作用http请求头里,有一个referer首部,这个首部可以告知服务端,当前的请求的来源。比如此刻,你在浏览这篇文章,假设这篇文章的地址是A,在我的文章里,有一篇CSDN的文章链接,链接地址是B,如果你点击链接B,那么浏览器在想CSDN发出请求时,就会在请求头里将referer设置为A,这样,当CSDN收到请求后,就知道,这次的流量是从知乎来的。这对于数据分析来说,是非常重要...
CSRF攻击防御---验证HTTP Referer
dhweicheng的博客
08-09 2万+
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。 /** * @author Cheng.Wei * @ClassName ReferrerInterceptor * @Description CSRF攻击处理
javascript document.referrer 用法
12-09
- **本地文件**:如果你直接在本地文件系统中打开这两个文件,比如从文件夹中双击 `b.html`,浏览器不会记录来源,因为没有实际的 HTTP 请求,所以 `document.referrer` 会返回空字符串。 - **直接输入 URL 或使用...
JavaScript中的document.referrer在各种浏览器测试结果
10-25
然而,`document.referrer`的行为在不同浏览器之间可能存在差异,尤其是在涉及到跨协议(如从HTTPS跳转到HTTP)或者特定的用户交互操作时。 首先,当用户从一个HTTPS页面跳转到HTTP页面时,由于安全原因,`document....
js中的referrer返回上一页使用介绍
10-26
因此,开发者在利用referrer信息时要考虑到这些限制,并在必要时通过其他方式来补充或验证信息。 在实际开发过程中,我们需要不断地测试各种浏览器的表现,以确保我们的代码能够在不同的环境中都保持一致的、可预测...
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3823
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
http referer 验证防御方法_渗透测试 跨站攻击防御与安全检测手法剖析
weixin_39614521的博客
11-29 676
上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦!3.3.1. 简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Sessio...
后端基础面试汇总-python
thxiong1234的博客
04-19 779
resultful风格:前后端分离,后端需要一种设计模式来规范约束。 每一个URL代表一种资源;客户端和服务器之间,传递这种资源的某种表现层;客户端用户四个HTTP动词,对服务器资源进行操作,实现“表现层状态转化”。 Web开发中的存在安全漏洞:csrf利用cookie进行跨域伪造攻击,SQL注入。 csrf是跨站请求伪造,攻击者伪造用户信息,像访问一个用户自己曾经认证的网站发送出去。譬如用户访问网站A留下了cookie,又访问网站B B网站携带攻击性代码访问。 防御CSRF攻击:主要有三个策略:验
meta标签的 referrer
u012174809的专栏
01-10 7337
首先,我先不解释,先看下我下面的请求数据图。 1.默认 (<meta name="referrer" content="origin"/>不写 也不 指定时) 2.origin时 3.no-referrer时 实验了这三个,就知道referrer的默认值和请求头的参数键值数据,完整如下 那么,它是什么作用呢,这正是我想要知道的。 百度是一种引用策略,可以用来防止图片或视频被盗。它的原理是:http 协议中,如果从一个网页跳到另一个网页,ht...
读书笔记——威胁:跨站请求伪造
kdf123的专栏
11-07 1395
跨站请求伪造(Cross-Site Request Forgery,CSRF,但也用缩写XSRF表示),CSRF比简单的跨站脚本攻击更具危险性。 阻止CSRF攻击 1)、令牌验证 可采用ASP.NET MVC 框架自带的方法: @Html.AntiForgeryToken() ... Html.AntiForgeryToken辅助方法会输出一个加密值作为隐藏的输入元素:
C#中如何运用Filter过滤器
CWK445056007的专栏
04-04 9200
场景:需要记录日志、权限验证、异常捕获,如果让代码不再重复编写 代码封装: public class MyActionFilterAttribute : ActionFilterAttribute { /// <summary> /// 执行前 /// </summary> /// <pa...
no-referrer
最新发布
03-15
### HTTP Referrer Policy: No-Referrer 行为与使用 当 `no-referrer` 的策略被应用时,无论请求的触发方式如何(例如通过链接点击、重定向或资源加载),都不会向目标站点发送任何引用地址信息。这意味着即使是从 HTTPS 页面发起到另一个 HTTPS 页面的请求,也不会传递 `Referer` 头部字段[^1]。 #### 使用场景 `no-referrer` 策略通常用于保护用户的隐私,尤其是在跨域请求的情况下。它能够防止敏感信息泄露给第三方网站,因为这些信息可能包含在原始页面的 URL 中。例如,在银行登录页面上有一个指向外部新闻文章的链接;如果采用默认行为,则可能会将带有会话 ID 或其他参数的完整 URL 泄露出去。而启用此策略可以有效阻止这种情况发生[^3]。 #### 实现方法 可以通过 HTML 元标签或者响应头来设置该政策: ##### 方法一:HTML Meta Tag 设置 ```html <meta name="referrer" content="no-referrer"> ``` ##### 方法二:服务器端配置 - 响应头部 对于 Apache 和 Nginx 这样的 Web 服务程序来说,可以在其配置文件里加入如下指令以实现全局控制: - **Apache**: Add the following line to your .htaccess file or main configuration. ``` Header always set Referrer-Policy "no-referrer" ``` - **Nginx**: Include this directive within an appropriate context such as http, server, location block etc. ``` add_header Referrer-Policy "no-referrer"; ``` 值得注意的是,并非所有的浏览器都完全支持上述两种设定中的每一个选项。根据最新的统计数据表明,除了 Opera Mini 之外的主要现代浏览器都已经实现了不同程度的支持程度。 #### 技术细节补充 尽管设置了 no-referrer 政策,但在某些特殊情况下仍需注意缓存机制的影响以及代理验证过程中的交互规则。比如当涉及到 Cache-Control headers 定义时(`cache-directive`) ,或者是处理来自远程服务器的身份认证挑战(challenge) 请求时 (`Proxy-Authenticate`) 都有可能间接影响最终效果 [^2][^4]. ### 结论 综上所述,“No-Referrer” 是一种简单有效的手段用来增强网络浏览安全性并减少不必要的数据暴露风险。然而开发者也应当考虑到不同环境下的兼容性和潜在副作用从而做出合理的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值