3回答

忽然笑

在HTTP referer标头中可用。您可以在servlet中获得它，如下所示：String referrer = request.getHeader("referer"); // Yes, with the legendary misspelling.但是，您需要意识到这是一个由客户控制的值，因此可以被欺骗为完全不同的东西，甚至可以删除。因此，无论返回什么值，您都不应将其用于后端中的任何关键业务流程，而应仅用于表示控制（例如，隐藏/显示/更改某些纯布局部分）和/或统计信息。有兴趣的人可以在Wikipedia中找到有关拼写错误的背景。

0 0

0

心有法竹

实际上，它是： request.getHeader("Referer")或什至更好，并且可以100％确信， request.getHeader(HttpHeaders.REFERER)HttpHeaders在哪里com.google.common.net.HttpHeaders

0 0

0

慕沐林林

所有人都提到过request.getHeader("referer");与接受的答案相比，我想添加更多有关引荐标头安全性方面的细节。在“开放式Web应用程序安全性项目（OWASP）”备忘单中，“ 跨站点请求伪造（CSRF）预防备忘单”下提到了引荐标头的重要性。对于此推荐的Same Origin检查更重要的是，JavaScript无法设置许多HTTP请求标头，因为它们位于“禁止”标头列表中。只有浏览器本身才能为这些标头设置值，从而使它们更值得信赖，因为甚至XSS漏洞都不能用来修改它们。这里推荐的Source Origin检查依赖于以下三个受保护的标头：Origin，Referer和Host，这使其自身具有相当强大的CSRF防御能力。您可以在此处参考“ 禁止的标头列表”。用户代理（即：浏览器）拥有对这些标头而不是用户的完全控制权。

0 0

0