14
J'utilise $ _SERVER ['HTTP_REFERER'] pour générer un lien arrière dynamique.
<a href="<?php echo $_SERVER['HTTP_REFERER'] ?>">Return to..blah</a>
Est-il raisonnablement sûr de le faire?
A
Répondre
14
Pas comme ça.
Peut ne pas être présent. (Il se peut que certains paquets de pare-feu cachent le référent pour des raisons de confidentialité, violant la spécification HTTP en cours de route)
Vous devez exécuter tout ce qui provient de l'extérieur de votre système via htmlspecialchars pour vous prémunir contre les attaques XSS (bien que, IIRC, le referer ne devrait jamais avoir de caractères dangereux car ils devraient être sûrs d'URL, vous devriez garder l'habitude de toujours être prudent). Les navigateurs viennent avec des boutons de retour, il n'est pas nécessaire d'essayer de dupliquer leurs fonctionnalités (surtout quand, avec ceci, si l'utilisateur clique sur un lien marqué "retour" il ne les reprend pas dans leur histoire, donc cliquer sur le bouton normal de retour les emmènera conceptuellement vers l'avant).
+1
Il peut ne pas être défini du tout, pas seulement vide. –
+0
Bon point, édité pour être plus clair. – Quentin
5
Il peut être sûr, mais il est pas fiable: en raison de la HTTP spec, HTTP_REFERER est facultative (certains clients n'envoient pas cet en-tête du tout, et quelques bandes de logiciels « de sécurité » ceci de toute requête HTTP), et il existe de nombreuses façons de modifier cet en-tête. Certains navigateurs envoient la page de renvoi, d'autres envoient une chaîne vide, d'autres n'envoient pas du tout, d'autres peuvent envoyer des données fausses, d'autres peuvent envoyer Tante Mathilde; et de plus, vous ne pouvez pas dire si vous obtenez des données valides dans cet en-tête ou non.
Donc, non, je ne ferais jamais confiance que HTTP_REFERER contient la page précédente, et vous non plus.
+1
+1 J'ai eu le premier fichier référencé dans le dernier ensemble de pages HTML demandé comme référant plusieurs fois, généralement 'favicon.ico' ou un fichier css. Cela est arrivé dans Firefox et Chrome. –
2
Ce n'est pas le cas. Il peut ne pas être défini, indésirable ou même dangereux.
concider les éléments suivants:
- types d'utilisateurs dans votre URL et visites vont. Il n'y aura pas de référent. Non seulement votre bouton de retour ne fonctionnera pas, mais vous recevrez également une erreur de notification.
- Le visiteur provient d'une source externe (disons google) sur votre page produit. voulez-vous renvoyer votre visiteur sur google? Je ne pense pas.
- L'en-tête peut être modifié, j'irais soit pour le vérifier, soit ne pas l'utiliser du tout.
Questions connexes
- 1. $ _SERVER ['HTTP_REFERER'] vs Request.ServerVariables ("HTTP_REFERER")
- 2. $ _SERVER ['HTTP_REFERER'] est toujours vide - PHP
- 3. Comment rediriger sinon $ _SERVER ['HTTP_REFERER']?
- 4. obtenir les paramètres de $ _SERVER [ « HTTP_REFERER »]
- 5. PHP est mon HTTP_REFERER
- 6. HTTP_REFERER revient avec NULL, la clé n'existe pas dans $ _SERVER
- 7. php HTTP_REFERER
- 8. est-il possible d'envoyer le $ _SERVER [HTTP_REFERER] lors d'une requête d'en-tête (location:)?
- 9. Est-ce que $ _SERVER ['HTTP_REFERER'] détectera un site comme référent s'il utilise une redirection?
- 10. PHP: Quelle est la meilleure façon de vérifier l'égalité de $ _SERVER ['HTTP_REFERER']?
- 11. Pourquoi ConcurrentHashMap.putifAbsent est sécuritaire?
- 12. Obtenez sans HTTP_REFERER Référent page
- 13. PHP - $ _SERVER ['HTTP_REFERER'] - comment stocker une fois, pas encore quand une soumission de formulaire se produit
- 14. PHP - Comment obtenir une valeur de paramètre à partir de $ _SERVER ['HTTP_REFERER']?
- 15. $ _SERVER ['HTTP_REFERER'] Comment puis-je le comparer à toutes les possibilités d'un seul domaine?
- 16. Nokia HTTP_REFERER problème
- 17. Sécurisation du paiement par carte de crédit - $ _SERVER ['HTTP_REFERER'] de vérification
- 18. Quelle est la différence entre $ _SERVER ['PHP_SELF'] et $ _SERVER ['SCRIPT_NAME']?
- 19. Quelle est la différence entre $ _SERVER ['PATH_INFO'] et $ _SERVER ['ORIG_PATH_INFO']?
- 20. est strtoul pas endian sécuritaire?
- 21. Revisiter Thread.Abort() - est-il sécuritaire?
- 22. ScheduledThreadPoolExecutor.remove: Est-il sécuritaire d'utiliser
- 23. Substituant UITabBarController, est-il sécuritaire?
- 24. ce qui est $ _SERVER [ 'HTTP_X_HTTP_METHOD']
- 25. Est-ce que Interop.Domino dll est sécuritaire?
- 26. Est-ce que Netty Channel.write est sécuritaire?
- 27. HTTP_REFERER est-il défini par le client?
- 28. PHP: $ _SERVER ['REDIRECT_URL'] vs $ _SERVER ['REQUEST_URI']
- 29. Extraire le schéma et l'hôte de HTTP_REFERER
- 30. Peut-on faire confiance à $ _SERVER ['REMOTE_ADDR']?
Sûr comme protégé contre les attaques XSS, ou sûr comme dans "contiendra toujours une valeur valide"? –
REFERER n'est pas toujours présent, donc votre méthode ne fonctionnera pas dans certains cas. –