我正在一个网站上测试CSRF。该网站通过检查referrer字段来阻止CSRF。现在我创建了一个发送请求的HTML页面。如何使用JavaScript或任何其他方法将referrer字段添加到该请求?
答案 0 :(得分:1)
网页不应能够使用JavaScript为请求添加Referer标头。但是,根据Wikipedia,依赖Referer标题仍然存在一些问题:
某些代理会自动删除Referer标头。所以它并不总是存在。
网页“可以通过发出来自FTP或HTTPS网址的请求来取消Referer标题。”
“[O] ld版本的Flash(9.0.18之前)允许恶意Flash 使用CRLF Injection生成带有任意HTTP请求标头的GET或POST请求。”