我想知道来自第三方网站的传入HTTP_REQUEST呼叫是否来自我定义的域列表。
我知道HTTP_REFERER可以用来找出第三方域名的位置,但它还不够安全。人们可以欺骗它或使用Telnet来伪造它。
那么,HTTP_ORIGIN怎么样呢?它是从所有浏览器发送的吗?安全吗?
另外,人们可以在HTTP_REQUEST调用中伪造REMOTE_ADDR吗?
发布于 2010-12-31 05:27:18
HTTP_ORIGIN
既不是由所有浏览器发送的,也不是安全的。
浏览器发送的任何内容都不能被认为是安全的。
发布于 2021-11-12 15:33:22
更新,截至2021年:
几乎所有浏览器都完全支持HTTP_ORIGIN
,请参阅:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Origin#browser_compatibility
https://stackoverflow.com/questions/4566378
复制相似问题