http_referer, findes eller findes ikke ?

Eksempler på at det ikke virker, er faktisk spm.! :O)

Hvis jeg skriver google.dk i min browser, så sender den ingen referer med.

Hvis jeg åbner en side via en lidt mere teknisk "browser" (såsom curl), så kan jeg sende en vilkårlig referer med til siden.

Hvis jeg åbner en rå socket connection kan jeg sende stort set hvad som helst til serveren - men den bliver højst sandsynligt bare sur.

Der findes sikkert også lokale proxier (såsom proximitron), der kan indstilles til, at du aldrig sender http_referer med til nogle sider - ligemeget hvem du snakker med. Jeg ved ikke hvorfor man ville indstille det, men man kan sikkert.

Du kan nok ikke bruge referer til at basere sikkerhed på - man kan fake det, hvis man vil. Men helt almindelig site-navigation og tilsvarende er fint nok - bare du håndterer, at den muligvis ikke findes.

--
Morten Barklund

1) Jeg har slået denne feature fra i min browser
2) Sidder bag en proxy som filterer denne header

Det er jo browseren der sender http-referer med, og af princip kan man jo ikke stole på at det er en rigtigt det browseren sender. I de fleste tilfælde vel det være rigtigt, men hvis man vil bryde sikkerheden så er det jo ikke svært at rette sin klient til at sende en anden http-referer med, eller bruge nogle af de proxies hvor man kan få den til at ændre headers.

Som du måske ved så virker en alm request ved
GET / HTTP/1.0
Host: www.ditsite.dk

Referer er på samme både
GET / HTTP/1.0
Host: www.ditsite.dk
Referer: internal.fbi.gov/adult/erotica

Det skulle ikke være så svært at starte en klient op, og så vil du se folk der kommer fra fbi's skumle forums når de besøger din side :)

Der mangler vist kun nogle svar! :O)

Mjææs - et skævt et af slagsen fra mig :)

Hvad er dit site, kender nogle fbi folk der kender vil besøge dig :-)

Du kan tilmed få et firefox plugin hvor du selv kan sætte denne header. Dette kaldes også referer spam ;) Man kan rent faktisk promovere sit site ved at sætte det som referer på alle sider man besøger ;)

Det er ikke mit site, men en snak om hvorvidt man kunne stole på http_referer, og havde hørt tusind gange man ikke kunne på den, men har aldrig selv bekrymret mig om at den, så jeg kunne ikke lige komme med ex. på hvordan og hvorledes!

haha :O) coder.dk,
du må lige smide et svar også! :O)

Nej tak du, bare giv til de andre :)

Det er også set, at den er blevet brugt til at hacke med. F.eks. hvis et site smider den i en database uden kontrol, så er der mulighed for sql injection

ok, ksoren, smid lige svar også

ksoren: Har du et eksempel paa SQL injection?

http://dk2.php.net/manual/en/security.database.sql-injection.php

Der var kun to svar, men jeg blev klogere! :O)
Takker!!! Alle!

Hov, forkert submit!

Well, tark for points :)