http referer 验证防御方法_http协议首部---referer,标明请求来源

最新推荐文章于 2023-09-28 16:46:11 发布
最新推荐文章于 2023-09-28 16:46:11 发布
阅读量605 收藏
点赞数
文章标签: http referer 验证防御方法
HTTP Referer字段用于告知服务器请求的来源,对数据分析至关重要,例如跟踪广告效果。在爬虫中,某些网站如豆瓣会利用此字段进行反爬,不设置合适的referer可能导致获取到不同的响应。了解并正确使用referer能提升爬虫的效率和友好性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、referer 的作用

http请求头里,有一个referer首部,这个首部可以告知服务端,当前的请求的来源。比如此刻,你在浏览这篇文章,假设这篇文章的地址是A,在我的文章里,有一篇CSDN的文章链接,链接地址是B,如果你点击链接B,那么浏览器在想CSDN发出请求时,就会在请求头里将referer设置为A,这样,当CSDN收到请求后,就知道,这次的流量是从知乎来的。

这对于数据分析来说,是非常重要的,比如,你在许多网站上投放了广告,你需要知道每个网站上的点击量,用户点击后来到你的网站,你就可以通过referer这个首部来统计各个网站的点击情况了,进而优化广告投放方法。

2、爬虫中的应用

许多网站,会利用这个字段进行反爬,比如豆瓣,如果你直接向 https://movie.douban.com/subject/1291828/ 发出请求,那么返回的结果和你在浏览器里发请求得到的结果会不一样。你通过请求得到的结果里没有电影的信息,而且通过302跳转到了 https://m.douban.com/movie/subject/1291828/ ,看上去像是手机端的浏览地址。

为了避免这个情况,你只需要在请求的header里将referer设置成 https://movie.douban.com/top250?start=25&filter= 就可以了,证明,你是从这个页面出发的。

其实,这种反爬机制,只能阻挡一些初级玩家,豆瓣如果真的不想让我们爬取,以他们的技术能力,是完全可以做到的。

所以,对于那些友好的网站,你在爬取时也仁义一点,别疯了一样发请求,搞得跟ddos攻击一样。

3、refer

据说,在起草http协议时一时疏忽,使用referer这个单词,事后发现,使用refer(认为…起源于)更准确,但发现时,http协议已经广为流传,为了避免麻烦,referer这个单词就一直沿用至今。

走进 - Http - a
wyc的博客
12-15 5588
走进 - Http - a 文章目录1.发展历史2.TCP/IP2.1 TCP/IP协议分层管理2.2 通信传输流2.3 IP协议(Internet Protocol)2.4 TCP协议2.5 DNS服务(Domain Name System)2.6 URI和URL2.7 统一资源标识符2.8 URI格式3.HTTP协议3.1 定位资源3.2 告知服务器意图的HTTP方法3.3 1.0和1.1支持...
HTTP协议部与Keep-Alive模式详解
01-05 331
什么是Keep-Alive模式? 我们知道HTTP协议采用“请求-应答”模式,当使用普通模式,即非KeepAlive模式时,每个请求/应答客户和服务器都要新建一个连接,完成 之后立即断开连接(HTTP协议为无连接的协议);当使用Keep-Alive模式(又称持久连接、连接重用)时,Keep-Alive功能使客户端到服 务器端的连接持续有效,当出现对服务器的后继请求时,Keep-Alive功能
什么是HTTP Referer
红梅花儿开
06-12 3908
什么是HTTP Referer HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。Referer其实应该是英文单词Refer
跨站请求伪造CSRF防护方法
jijithin
08-22 953
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 ...
HttpReferrer验证
dxm809的博客
03-04 656
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace Chapter7 { public class IsPostedFromThisSiteAttribute:AuthorizeAttribute {...
2.http请求Referer的作用与伪造
热门推荐
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer RefererHTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
referer认证与请求请求拦截
xyz_road的博客
09-28 819
但是,如果是iframe嵌套窗口的时候:本地开发是子窗口,这时要拿到顶级窗口:也就是父窗口,的window.locaiton对像的地址url、不好意思,除非网页地址本就没有参数,否则无法做到。浏览器也根据是否同源做不一样的安全限制,并不能保证所有接口的referer都是完整的url,在非同源的情况下可能只发送网页的源。为满足所有的接口都加上请求,就需要做实例的请求拦截与axios的直接拦截,经过本人实验,这两个拦截不冲突,2、有的请求使用了封装的axios实例的方法,而有的接口是直接调用了axios。
http请求首部中,Referer和User-Agent表示什么意思
最新发布
04-01
| **核心作用** | 标明请求来源 | 标明客户端身份 | | **典型用途** | 防盗链、反 CSRF、流量分析 | 设备适配、反爬虫、统计分析 | | **隐私风险** | 可能泄露来源 URL 的敏感参数 | 可能泄露设备信息 | | **可控性*...
图解http
m0_68897489的博客
07-29 1746
HTTP
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3465
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器校验Referer,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
HTTPS下请求HTTP时客户端不带Referer
香巴拉
01-08 5231
作者:zhanhailiang 日期:2015-01-08 今天,测试发现在 https://mlogin.vip.com/user-login.html?back_act=http%3A%2F%2Fm.vip.com%2Fuser.html 下上报监控数据 http://mstats.vip.com/v1/timing/m?_t=1420647129290&p2=240&p4=37
CTF-web Xman-2018 第五天 xss csrf
iamsongyu的博客
12-15 1715
xss常见套路 对于xss,实际上就是把我们提交上去的数据当做代码执行,对于这种实际上有很多种情况可以攻击,下面具体介绍一些常用的套路。 先看一些小trik 很多HTML标记中的属性都支持javascript:[code]伪协议的形式. <table background="javascript:alert(/xss/)"></table> <img src=...
不同于Token和Refer校验的另一种CSRF防御办法
18年3月萌新白帽子
12-24 2454
        事情的情况是这样的,前段时间在工作中发现XX系统存在CSRF漏洞,我在数据包内并看到对应的Token参数,测试Refer后发现XX系统并请求来源(refer)进行相关校验。我便认为此处存在CSRF漏洞并将该漏洞发送给了XX系统的相关负责人。 但是过了几天后XX系统的负责人发来一份反馈邮件,邮件说他们系统做了CSRF校验但用的不是Token也不是Refer。而是如下方法: ...
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 6076
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证Referer的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
请求referer作用及去除
qq_49810363的博客
12-11 6212
注意:本人是菜鸟,仅供参考 一、请求referer作用 当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理 1、防盗链 比如服务器只允许网站访问自己的静态资源,那服务器每次都需要判断Referer的值是否是自己的域名,如果是就继续访问,不是就拦截 2、防止恶意请求 必须 Referer为我自己的网站才可以访问,否则禁止访问 二、在防盗链设置中,允许空Referer和不允许空Referer有什么区别? 允许为空,那再浏览
HTTP 笔记与总结(6)referer 与防盗链
weixin_33937499的博客
07-16 164
在百度贴吧(或 QQ 空间等)中找到一张图片,复制图片地址,在站外通过 img src 引用,会发现:   此外,在一些统计软件中,统计访客的来路(直接访问、外部链接、搜索引擎),都用到了 HTTP 协议请求Referer 的知识。     【例】直接访问 www.baidu.com 和 在通过本地页面跳转至 www.baidu.com,观察 HTTP 请求信息的差异: ①...
Referer请求
GD_vigoss的博客
04-08 4850
本文分享自微信公众号 - code秘密花园(code_mmhy),作者:ConardLi 原文出处及转载信息见文内详细说明,如有侵权,请联系 [email protected] 删除。 原始发表时间:2020-11-17 如果你的站点有使用 Referer收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。 在开始阅读本文之前,如果你不理解 site和 origin之间的关系,请阅读:同站和同源你理解清楚了么? Referer Referer请求包含了
校验Referer,防范CSRF(跨站请求伪造)攻击的拦截器
knight_black_bob的专栏
12-29 4209
com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; import com.trace.web.utils.Constants; /** * 对管理员操作,校验Referer,防范CSRF(跨站请求伪造)攻击的拦截器 * @author admin */ public class AuthInterceptor extend
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值