防止 cURL Referrer 欺骗攻击

Question

18

我们从开发人员那里收到了一段PHP代码，其中包含一个仅依赖于 $_SERVER['HTTP_REFERER'] 的网页统计脚本。使用cURL，可以轻松地进行如下伪造：

curl_setopt($curl, CURLOPT_REFERER, "client website");

我希望找到一种方法来防止这种欺骗行为。甚至客户端网站也可以通过此方式获得更高的统计数据。我正在寻找一种方法来防止这种欺骗行为。这是否可能？如果可能，如何实现？

- demechanico

你做不到。最好的方法是过滤掉明显无效的引荐者，接受其余难以区分的欺骗行为作为误差范围。 - Dan Bechard

最终的目标是防止欺骗，识别发出请求的客户端吗？因为如果是这样，可以使用浏览器指纹。它不是100％准确的，但它已经尽可能地好了，在大多数情况下，它将非常接近于唯一识别客户端。 - PatomaS

这个问题类似于 https://dev59.com/4nVC5IYBdhLWcg3w2k-I 解决方案是使用自定义引荐令牌，该令牌经过加密签名并可以在服务器端进行验证。但是这将要求您与发送流量的页面密切合作 - 而您也不想信任它们，我理解的是这样。 - pixelistik

@PatomaS 的目标是收集客户网站的实际统计数据，而不让任何人为地增加它。虽然不确定浏览器指纹识别如何帮助我们。 - demechanico

@demechanico：当我看到你的问题时，我曾经想过一会儿，你想要识别客户端（Web浏览器），而不是页面。浏览器指纹可以用来检测客户端，但不能检测页面。所以这是我的错误，没有正确理解你的问题。 - PatomaS

显示剩余2条评论

2个回答

0

关于这种 referrer 伪造，你无能为力。所有的 web-stats 脚本都要依赖于这个 referrer。即使是包括谷歌分析在内的巨型 web-stats 网站也被这个伪造的 referrer 所骗。

一个不错的解决方案是检查一下 referrer 的 URL。我是说，访问那个 referrer 并检查你的 URL 是否存在于其中。但是这当然很费时间、慢，并且需要大量的带宽。然而这还不足以克服这个问题。

以下是几个问题，如果你正在追踪回 referrer 的 URL，你将无法找到你的链接：

- Sabuj Hassan

感谢您的输入。好的，这段代码应该来自客户网站，它应该能够保持网站的浏览量统计。我最担心的是那些试图通过虚假请求来增加他们的统计数据的网站。因此，从您上面列出的内容中，iframe 是我们唯一可能会遇到的问题。 - demechanico

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Amal Murali · Accepted Answer

没有确定的方法可以确定URL Referrer。

根据 HTTP规范，HTTP_REFERER是可选的。一些防火墙软件默认会剥夺这些，有些客户端不发送引用者值，而且有许多方法（就像你在问题中展示的那样）来修改这个值。

简而言之，HTTP_REFERER的值不能被信任。总会有一些方法来修改这些值。在 $_SERVER PHP 手册文档中提到了这一点 (重点在于):

页面地址（如果有的话）将用户代理引用到当前页面。这是由用户代理设置的。并非所有用户代理都会设置这个，有些用户代理提供了修改 HTTP_REFERER 的功能。简而言之，它确实无法被信任。

回答您的问题：不，没有任何方法可以防止修改HTTP_REFERER的值。建议您在使用前仔细检查该值（可选的，在其上应用 htmlspecialchars() 以防止注入），或者根本不使用它。不幸的是，这是一个“拿着就走”的交易。