[php]$_server['http_referer']

**mark2x** · 22-05-2006, 15:43

$_SERVER['HTTP_REFERER'] è "spoofabile", ovvero modificabile in maniera non lecita?
Se sì, come? O come si evita ciò?

10x.

**Gunn** · 22-05-2006, 15:51

bella domanda... sarebbe interessante saperlo
probabilmente è un valore che manda il browser e non il server, quindi magari è craccabile

**mark2x** · 22-05-2006, 15:55

Originariamente inviato da Gunn
probabilmente è un valore che manda il browser

Ma va?

**Gunn** · 22-05-2006, 16:02

Originariamente inviato da mark2x
Ma va?

mica è tanto scontato

se ne sei sicuro allora è crackabile

prendi il source di mozilla e lo modifichi in modo che come url refer ti mandi un url personalizzato

**skidx** · 22-05-2006, 17:50

Originariamente inviato da mark2x
$_SERVER['HTTP_REFERER'] è "spoofabile", ovvero modificabile in maniera non lecita?
Se sì, come? O come si evita ciò?

10x.

Non lecita? Saranno ca**i miei se voglio inviare un referrer diverso, gli header sono miei e ci faccio quello che voglio.

E' modificabile con una facilità imbarazzante, su browser decenti, ci sono pure le estensioni apposite.

Non si evita, semplicemente non si usa il referrer lato server per fare cose importanti, può interessare giusto a livello statistico.

**mark2x** · 22-05-2006, 17:53

Già.. proprio come temevo (e palesavo) quando si parlava d'altro - ovvero di come difendersi dai CSRF iniziati con link remoto...

**skidx** · 22-05-2006, 17:55

mah, non vedo il problema, lato server il referrer è come lo user agent, totalmente inutile.

**mark2x** · 22-05-2006, 18:04

L'argomento sottendeva un discorso complesso. Cmq sì, qst è ciò che anch'io pensavo.

**mark2x** · 23-05-2006, 09:33

Bene, ora ho un attimo più di tempo, avviciniamoci meglio alla questione che gira nella mia mente...

Approfondiamo.
Posto che un client sotto il nostro controllo può spoofare tale header (esso decide cosa inviare, non si può parlare di spoof per la verità), è possibile invece far modificare il referer ad un browser non sotto il nostro controllo?

Ovvero il client dell'utente A visita la nostra pagina C che lo redirige al sito B tramite link: è possibile che sito B veda un referer da noi (C) voluto?

**Gunn** · 23-05-2006, 10:19

non credo, come hai detto tu è il browser a mandare il refer, magari si può fare con javascript però.

Discussione: [php]$_server['http_referer']

Strumenti discussione

Ricerca discussione

Visualizza

[php]$_server['http_referer']

Re: [php]$_server['http_referer']

Permessi di invio