Fatal编程技术网
  • javascript/
  • Javascript 通过it发送参考(r)er';浏览器中是否已关闭?

Javascript 通过it发送参考(r)er';浏览器中是否已关闭?

javascript

Javascript 通过it发送参考(r)er';浏览器中是否已关闭?,javascript,http-referer,Javascript,Http Referer,我想知道是否有一种方法可以通过http请求发送referer,尽管它在浏览器中被打开(例如,使用javascript) 未发送推荐人时我遇到的问题: 我正在尝试最小化攻击的更改,因此每当加载页面时,我都会更改sessionkey。。。sessionid保持不变,但键发生了变化。。。因此,基本上,当一个页面有一些需要从服务器发送的脚本或样式文件时,referer(r)er就是需要正确显示它们的页面,或者有一些需要脚本的部分。当我在服务器上切换到另一个页面时,referer(r)er会发生变化。好的

我想知道是否有一种方法可以通过http请求发送referer,尽管它在浏览器中被打开(例如,使用javascript)

未发送推荐人时我遇到的问题:

我正在尝试最小化攻击的更改,因此每当加载页面时,我都会更改sessionkey。。。sessionid保持不变,但键发生了变化。。。因此,基本上,当一个页面有一些需要从服务器发送的脚本或样式文件时,referer(r)er就是需要正确显示它们的页面,或者有一些需要脚本的部分。当我在服务器上切换到另一个页面时,referer(r)er会发生变化。好的,为了解释它,这里有一个模式(如果无法理解,请这样说):

因此,要使sessionkey的更改生效:我只在referer(r)er为null或我正在更改到另一个页面时才更改sessionkey。。。但当“发送引用器”关闭时,这将不起作用,就像使用Opera时一样。。。b/c然后referer(r)er总是空的,当客户端从test.html-page b/c发送对style.css的请求时,我遇到了麻烦,然后会设置新的sessionkey,但是对style.css的请求会与旧的sessionkey一起出现。。。因此,最简单的方法(我想…也许我遗漏了什么)就是使用referer(r)er…

我想你已经把它复杂化了

他们必须启用cookies才能使会话正常工作。添加具有当前会话密钥副本的cookie。每当请求html文件时,测试cookie密钥和会话密钥是否匹配。如果他们不这样做,那么你可能会受到重播攻击。继续,忽略对.css等的请求。您真正应该关心的是您的html文件

每当请求html文件时,更新密钥并将其写入会话变量和cookie

有了这个介绍人是无关紧要的(它可以欺骗无论如何),你是防止重播;我认为,这就是你最终的目标。

我认为你把这件事复杂化了

他们必须启用cookies才能使会话正常工作。添加具有当前会话密钥副本的cookie。每当请求html文件时,测试cookie密钥和会话密钥是否匹配。如果他们不这样做,那么你可能会受到重播攻击。继续,忽略对.css等的请求。您真正应该关心的是您的html文件

每当请求html文件时,更新密钥并将其写入会话变量和cookie

有了这个介绍人是无关紧要的(它可以欺骗无论如何),你是防止重播;我认为,这是您最终的目标。

不确定您希望在这里使用什么JavaScript,但请记住,如果您使用JavaScript设置用户要去的地方(例如下一页),那么

因此,请对您在页面转换中添加的魔力感到厌倦。

不确定您希望在此处使用的JavaScript是什么,但请记住,如果您使用JavaScript设置用户要去的地方(例如下一页),那么

因此,请对您在页面转换中添加的魔力感到厌倦。

好吧,我不想说我理解您的问题,但我可能有一个使用JavaScript的referer Simulation解决方案:您可以使用window.name属性存储上次加载的URL,在覆盖它之前,它应该存储上次加载的页面的URL

(老实说,我没有为此测试window.name,但我确实将其用于跨域通信…)

希望这能有所帮助。

好吧,我不想说我理解你的问题,但我可能有一个用JavaScript进行引用模拟的解决方案:你可以使用window.name属性来存储上次加载的URL,在你覆盖它之前,它应该存储上次加载页面的URL

(老实说,我没有为此测试window.name,但我确实将其用于跨域通信…)

希望这能有所帮助。

这是最主要的问题。。。是的,我可能把整个事情复杂化了一点,但我有我的指导方针,我必须遵循,所以这有点困难。。。但我将对此进行研究(不幸的是,cookies是没有选择的……:(…但我想我现在有另一个想法)Thnx!似乎工作正常…尽管我会给它更多的测试;)。。。这是最主要的问题。。。是的,我可能把整个事情复杂化了一点,但我有我的指导方针,我必须遵循,所以这有点困难。。。但我将对此进行研究(不幸的是,cookies是没有选择的……:(…但我想我现在有另一个想法)Thnx!似乎工作正常…尽管我会给它更多的测试;)。。。THNXyeah,但我希望我可以用js发送推荐人,以防它在浏览器中被关闭。。。但话说回来,用户可能会关闭js,然后我就完蛋了;)哈哈…是的,但是我希望我可以用js发送推荐人,以防它在浏览器中被关闭。。。但话说回来,用户可能会关闭js,然后我就完蛋了;)英雄联盟 
start:  GET test.html --> referrer := null
            `--> GET style.css --> referrer := test.html
---- CLICK ON LINK TO GO TO: 'form.html'
        GET form.html --> referrer := test.html
            `--> GET sendRequest.js --> referrer := form.html
            `--> GET style.css --> referrer := form.html
---- CALL A PAGE DIRECTLY OVER ADDRESS BAR: http://somedomain.com/someotherpage.html
        GET someotherpage.html --> referrer := null