Apache的RewriteCond HTTP_Referer是否可以抵御引用欺骗?

时间:2015-01-26 11:20:04

标签: apache security http mod-rewrite http-referer

Apache中的RewriteCond HTTP_Referer是否可以安全地阻止直接访问私有(受密码保护,而不是通过Apache的mod_auth)HTML页面中包含的脚本或数据?

或者有人可以使用Referer Spoofing来访问脚本和数据吗?

示例:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?.(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(txt|js|pdf)$

1 个答案:

答案 0 :(得分:1)

您的重写条件检查HTTP客户端标头(Referer)。 因此,用户/攻击者可以完全自由地向您发送她想要的任何价值,即。她可以欺骗标题。

因此,对于经过身份验证的会话(您提到密码保护区域)并不安全!

它仅对其他网站有用,可以将您的资源链接起来,因此“偷窃”#34;你的流量。但即使在这种情况下,您也应该考虑下行方面,例如欺骗/删除引荐来源的人的网站中断,例如由于隐私问题。