Security 是否可以基于引用创建攻击向量？

我在编写一些PHP代码时有了一个想法。通常，如果用户在google上搜索网站并单击链接，则访问网站的推荐人（在本例中为google，包括搜索字符串等）将获得此信息

你认为有可能从参考信息中创建攻击向量吗？比如：如果你知道推荐人可能是像paypal.com这样的网站，你会怎么做

---

我期待着阅读你的想法

是的，这通常是可能的。URL可能包含仅针对源网站的访问用户的敏感信息

---

一个经常提到的示例是用于标识用户会话的会话ID。如果该会话ID泄漏给第三方，第三方可以尝试使用该会话（称为）。这就是为什么许多网站在链接到第三方网站时使用所谓的延迟器删除任何可能的敏感信息。

如果访问者在访问另一个域（即paypal.com）上的敏感web服务器后登录到您的网站，则此敏感web服务器很可能实现SSL。

---

如果是这种情况，大多数浏览器都会删除Referer。

这解释了如何利用

Referer

头进行一般的网络钓鱼攻击。

的确如此。我最近通过这篇文章读到了一些关于网络钓鱼攻击的信息，因为许多人并不介意他们的URL栏，只要转发的网站（可能称为paypal-service.com）看起来像原始网站，用户可能会分发敏感信息。但这只是因为攻击者知道该用户是paypal用户，因为该用户是referer。