我试图欺骗referrer。
A.com - > B.com - > Destination.com
A.com我
header("Location: http://B.com/redirect.php?site='http://destination.com'");
B.com我
$target = $_GET['site'];
header("Location: $target");
Destination.com将$_SERVER['HTTP_REFERER'];写入数据库,我可以确认引用欺骗是否有效。
但是,数据库显示引用者是A.com而非B.com!我哪里做错了 ?
尝试没有“ 而进行urlencode您的GET :)
如果您不希望引用者通过,请不要使用真正的HTTP重定向。还有其他一些方法通常不如正确的重定向,但如果您担心避免引用漏洞并且不太担心可用性或搜索引擎优化,则可能会有用。
location.replace('someurl');。这会通过B.com上的重定向页面作为除IE以外的所有浏览器的引用。
<meta http-equiv="Refresh" content="0;url=someurl" />。引用者将是Opera上的重定向页面这将引用者设置为Opera,Safari和Chrome上的B.com,但不包括IE或Firefox。
action="someurl",用JavaScript自动提交。这将会向URL添加一个空的?查询,并且它会在浏览器中以非常令人讨厌的方式打破后退按钮,而这些浏览器不会缓存它。这始终将引用链接设置为B.com。
可能重复的http://stackoverflow.com/questions/3444034/php-spoofing-referrer – Joseph 2010-08-09 21:19:31