http请求头中Referer的作用及危害

一、Referer

Referer是HTTP请求header中的一部分，其表示请求当前资源的客户端来源，当浏览器（或模拟浏览器行为）向web服务器发送请求的时候，头部信息里会携带Referer。

例如：在 www.google.com 里有一个 www.baidu.com 超链接，当点击这个链接跳转到baidu的时候，浏览器向baidu发出的请求信息里就有：Referer=http://www.google.com

Referer的正确拼写是referrfer，由于早期的HTTP规范的拼写错误，于是决定将错就错。

1.作用

• 防盗链：
  比如只允许某台服务器访问我自己的图片服务器资源，则可校验Http请求包中的Referer。判断是不是特定服务器的域名，若不是，则拒接响应。
   
• 防止恶意请求:
  对于某些风险较高的文件类型，可使用Referer使得该类型文件只能来自我所指定的网站。

2.空Refer

Referer头部的内容为空的情况：

• 浏览器内直接输入URL
• Windows桌面的超链接图标
• 浏览器内书签
• 第三方软件内容中的链接跳入

二、Referer的伪造

1.伪造为ip地址

• 使用Firefox的X-Forwarded-For Header 插件更改ip地址
• 使用brup拦截请求包，在Proxy里面发送到Repeater，将Http头中的X-Forwarded-For改为想改的ip

2.伪造为URL

  通过brup拦截，再使用Reapter修改Referer为想指定的URL