W jakich przypadkach HTTP_REFERER będzie puste

Wiem, że można uzyskać pusty HTTP_REFERER. W jakich okolicznościach to się dzieje? Jeśli otrzymam pusty, czy zawsze oznacza to, że użytkownik go zmienił? Czy otrzymanie pustego to to samo, co uzyskanie zerowego? iw jakich okolicznościach to też dostaję?

Będzie / może być pusty, gdy użytkownik końcowy

• wprowadził adres URL witryny w samym pasku adresu przeglądarki.
• odwiedzili witrynę za pomocą zakładki obsługiwanej przez przeglądarkę.
• odwiedził witrynę jako pierwszą stronę w oknie / karcie.
• kliknął łącze w zewnętrznej aplikacji.
• przełączono z adresu URL https na adres URL http.
• przełączono z adresu URL https na inny adres URL https.
• ma zainstalowane oprogramowanie zabezpieczające (antywirus / zapora ogniowa / itp.), które usuwa stronę odsyłającą z wszystkich żądań.
• znajduje się za proxy, które usuwa stronę odsyłającą ze wszystkich żądań.
• odwiedził witrynę programowo (np. curl ) bez ustawiania nagłówka strony odsyłającej (roboty wyszukiwania!).

HTTP_REFERER - wysyłany przez przeglądarkę, podający ostatnią stronę przeglądaną przez przeglądarkę!

Jeśli ufasz [HTTP_REFERER] z jakiegokolwiek ważnego powodu, nie powinieneś, ponieważ można to łatwo sfałszować:

1. Niektóre przeglądarki ograniczają dostęp, aby nie zezwalać na przekazywanie HTTP_REFERER
2. Wpisz adres w pasku adresu nie przejdzie HTTP_REFERER
3. otwarcie nowego okna przeglądarki nie przejdzie HTTP_REFERER, ponieważ HTTP_REFERER = NULL
4. ma dodatek do przeglądarki, który blokuje go ze względu na ochronę prywatności. Niektóre zapory i AV to robią.

Wypróbuj to rozszerzenie do Firefoksa, będziesz mógł ustawić dowolne nagłówki:

@ Mistrz świętowania:

Firefox:

rozszerzenia: refspoof , refontrol , modyfikuj nagłówki , no-referer

Całkowicie wyłącz: opcja jest dostępna w about: config pod "network.http.sendRefererHeader" i chcesz ustawić ją na 0, aby wyłączyć przekazywanie referer.

Google chrome / Chromium:

rozszerzenia: noref , spoofy , external noreferrer

Całkowicie wyłącz: Chnage ~ / .config / google-chrome / Default / Preferences lub ~ / .config / chromium / Default / Preferences i ustaw to:

{
   ...
   "enable_referrers": false,
   ...
}

Lub po prostu dodaj --no-referrers do skrótu lub w cli:

google-chrome --no-referrers

Opera:

Całkowicie wyłącz: Ustawienia> Preferencje> Zaawansowane> Sieć i odznacz „Wyślij informacje o stronie odsyłającej”

Fałszywa usługa internetowa:

http://referer.us/

Samodzielne filtrowanie proxy (fałszowanie dowolnego nagłówka):

Privoxy

Podszywanie się pod http_referer podczas korzystania z wget

„--referer = url”

Podszywanie się pod http_referer podczas używania curl

-e, --referer

Podszywanie się pod http_referer za pomocą telnetu

telnet www.yoursite.com 80 (press return)
GET /index.html HTTP/1.0 (press return)
Referer: http://www.hah-hah.com (press return)
(press return again)

Lista BalusC jest solidna. Dodatkowym sposobem, w jaki to pole często wydaje się puste, jest sytuacja, gdy użytkownik znajduje się za serwerem proxy. Jest to podobne do przebywania za zaporą ogniową, ale jest nieco inne, więc chciałem o tym wspomnieć ze względu na kompletność.

Będzie również puste, jeśli zostanie użyta nowa wersja robocza standardu referrer Policy, aby zapobiec wysyłaniu nagłówka referer do źródła żądania. Przykład:

<meta name="referrer" content="none">

Chociaż Chrome i Firefox wdrożyły już wersję roboczą Polityki odsyłających, należy z nią uważać, ponieważ na przykład Chrome oczekuje no-referrerzamiast none(i nevergdzieś też widziałem ).

Zauważyłem, że referer przeglądarki jest naprawdę niespójny.

Na przykład element zakotwiczenia z atrybutem „download” działa zgodnie z oczekiwaniami w przeglądarce Safari i wysyła osobę odsyłającą, ale w przeglądarce Chrome strona odsyłająca będzie pusta lub w dziennikach serwera WWW będzie oznaczony „-”.

<a href="http://foo.com/foo" download="bar">click to download</a>

W Chrome jest uszkodzony - nie wysłano żadnego recenzenta.