So offensichtlich ein Request-Header fälschen kann über Client-Seite gefälscht werden, indem eine beliebige Erweiterung/AV/Firewall/Browser-Einstellungen etc ...Ist es möglich, dass eine Website Referer-Header
Meine Frage ist:
Can ein Website-Besitzer bad.com
kann einen iframe mywidget.php
erstellen, und ich werde sehen, eine gefälschte Referer Header good.com
.
Das Spoofing wird vom Websitebesitzer durchgeführt, zB: Server, und nicht von einer tatsächlichen Client-Software, die oben aufgeführt ist.
Zwei Punkte:
- Ich spreche von einem diffrent referer
good.com
und nicht einem leeren. - Offensichtlich auszuschließen Ajax Anfragen.
- Wenn es tatsächlich möglich ist - Content Security Policy, kann eine Lösung sein. aber ich möchte nicht jede einzelne Domain zu ihrem Header-Wert hinzufügen.
Danke.
Letztendlich entscheidet der * client * welcher Header gesendet werden soll, der Seitenbetreiber hat absolut nichts zu sagen. Das heißt, die Frage ist, ob ein Site-Besitzer einige clevere Weiterleitungen einrichten könnte, die den Client dazu veranlassen würden, sich für einen unerwarteten Referer zu entscheiden. – deceze