基於 Referer Header
的 CSRF
(跨站請求偽造)防禦依賴於檢查 HTTP Referer Header 以確定請求是從合法的源發起的。簡單地說,如果一個請求是從外部站點發起的,那麼 Referer
應該會是不同的,並且應該被阻擋。
修改 Referer Header
。此外,當 HTTPS 請求導航到 HTTP 請求時,大多數瀏覽器都不會發送 Referer header
。如果網站只檢查 Referer
是否存在,不檢查其值,則攻擊者可以試圖發送沒有 Referer header
的請求。Referer
的檢查。<meta>
標籤可以設置或更改 Referer header
。攻擊者可以使用這一策略來偽造預期的參考源。Referer header
是否包含其域名,而不檢查整個值,那麼攻擊者可能會使用一個包含目標網站域名的不同域來繞過檢查。