这样做有什么意义?
我想要一个理由,如果引荐者在域外,将一个人送回他们来自的地方是个好主意。我想知道为什么一些网站坚持认为这是一种很好的做法。它很容易被攻击,很容易被恶意登录的任何人绕过,只是在我脸上瞪眼,作为无用的“安全”措施。我不喜欢在没有其他意见的情况下对事情抱有偏见,所以请向我解释一下。
请求标头只能像您的客户一样值得信赖,为什么要将它们用作验证手段?
答案 0 :(得分:2)
有人可能想要这样做有三个原因。检查引用是CSRF Prevention的方法。网站可能不希望人们链接到敏感内容,因此使用它来反弹浏览器。它也可能是为了防止蜘蛛访问发布者希望限制的内容。
我同意使用像TamperData这样的东西很容易绕过你自己的浏览器上的引用限制。还应注意,如果您从https://页面进入http://页面,则浏览器的http请求将不包含引用者。