本文目录一览:
HTTP Referer 教程
现实生活中,购买服务或加入会员的时候,往往要求提供信息:"你从哪里知道了我们?"
浏览器向服务器请求资源的时候,Referer字段的逻辑是这样的,用户在地址栏输入网址,或者选中浏览器书签,就不发送Referer字段。
主要是以下三种场景,会发送Referer字段。
(1)用户点击网页上的链接。
(2)用户发送表单。
(3)网页加载静态资源,比如加载图片、脚本、样式。
上面这些场景,浏览器都会将当前网址作为Referer字段,放在 HTTP 请求的头信息发送。
浏览器的 JavaScript 引擎提供document.referrer属性,可以查看当前页面的引荐来源。注意,这里采用的是正确拼写。
上面链接点击产生的 HTTP 请求,不会带有Referer字段。
注意,rel="noreferrer"采用的是正确的拼写。
rel 属性只能定制单个元素的 Referer 行为,而且选择比较少,只能发送或不发送。W3C 为此制定了更强大的 Referrer Policy 。
Referrer Policy 可以设定8个值。
Referrer Policy 有 多种使用方法 。
(1)HTTP 头信息
服务器发送网页的时候,通过 HTTP 头信息的 Referrer-Policy 告诉浏览器。
(2)meta标签
也可以使用meta标签,在网页头部设置。
(3)referrerpolicy属性
a、area、img、iframe和link标签,可以设置referrerpolicy 属性。
还有一种比较老式的 技巧 ,但是非常有效,可以隐藏掉原始网址,谷歌和 Facebook 都在使用这种方法。
链接的时候,不要直接跳转,而是通过一个重定向网址,就像下面这样。
上面网址中,先跳转到/exit.php,然后再跳转到目标网址。这时,Referer字段就不会包含原始网址。
(完)
php取得页面来源,就是referer,
1、如果是从其他页面跳转过来,则会有 $_SERVER['HTTP_REFERER']值,且不为空
2、如果是直接从网址里输入这个URL访问,则会有 $_SERVER['HTTP_REFERER']值,且为空
php代码判断是否被劫持
可以使用 php 代码检测是否被劫持,主要的方法如下: (1)检查 HTTP 头部的 Referer 信息。在用户每一次访问网站时,通过检查 HTTP 头部的 Referer 信息,可以判断是从哪个页面跳转到该页面的。如果 Referer 信息不是网站本身,则可能发生了非法跳转攻击。(2)验证 HTTP 内容协议头部。HTTP 内容协议头部中关于编码和字符集的内容都是可以重新设置的,通过检查内容协议头部,可以判断是否有恶意修改。(3)验证 Cookie 的安全性。Cookie 是存储在客户端的文本文件,黑客可以对其内容进行修改,从而可以实现冒充合法访问者的目的。网站的每次请求都会带上 Cookie 信息,因此网站可以建立验证 Cookie 的机制,来判断用户是否被恶意劫持了。(4)使用 HTTPS 来保护数据传输的过程。HTTPS 是一种具有加密功能的协议,如果某个请求是使用 HTTPS 协议发送的,则可以保证数据传输的安全性,从而防止黑客劫持网站。-php跳转referer
php,跳转,如何才能保留referer?
方法很多,cookie和session就不用说了,还有一个就是使用查询参数保存就可以了,
也就是,header跳转前在地址后面在加上一个reffer参数
header("url.php?...reffer=".当前的地址);
