是否可以更改VBScript中的HTTP_REFERER值?为了避免XSS攻击,我在链接中使用CSRF数据。但是当我将用户链接到外部网站时,如果他们检查CSRF,则目标网页可能会捕获此HTTP_REFERER数据。
所以我读到你应该在其间放一个中间页面,它将重定向到所需的页面。所以我尝试创建一个名为RedirectPage.asp的页面,该页面将URL作为参数并执行Server.Redirect。但是,如果我点击pagex.asp?CSRF...上的外部链接,我抓住的最终HTTP_REFERER仍为pagex.asp。
那么有没有办法“清理”我的REFERER标题?
谢谢!
答案 0 :(得分:1)
通过使用元重定向而不是重定向标头,您可以更改Firefox和IE中的引荐来源,但不能更改Chrome,如下所述:https://stackoverflow.com/a/2985629/160565
您可以通过重定向SSL页面来一致地清除(不更改,但消除)http_referer。
为了保存自己的重定向,您还可以检查支持rel =" noreferrer"的浏览器。 html5属性,并在那些情况下使用它。我相信目前只是webkit浏览器。 http://www.whatwg.org/specs/web-apps/current-work/multipage/links.html#link-type-noreferrer