这里和其他网站上的答案经常充满了警告,不要相信HTTP Referrer头,因为它们很容易被欺骗或伪造。
在我继续之前 - 不,我没有做坏事 - 但我确实想运行一些依赖引荐者的测试。
虽然我不怀疑关于虚假引荐者的警告是正确的,但我真的找不到关于它们如何被操纵的详细信息。甚至维基百科文章也只是以一般性的术语谈论它。
我即将使用FireFox的RefControl插件进行实验。
以编程方式(特别是在ASP.NET中),UrlReferrer是一个只读属性,因此如果我不能设置它,我不知道如何发送带有虚假引荐数据的请求?我真的必须手动执行吗?
我该如何使用ASP.NET发送一个请求到我的网站,并使用用户提供的变量填充引荐标头?
HttpContext.Current.Request 中 UrlReferer 属性的值(即使它是只读的)。FieldInfo fi = HttpContext.Current.Request.GetType().GetField("_referrer", BindingFlags.NonPublic | BindingFlags.Instance);
string initialReferer = HttpContext.Current.Request.UrlReferrer.ToString();
if (fi != null)
fi.SetValue(HttpContext.Current.Request, new Uri("http://example.com"));
string fakedReferer = HttpContext.Current.Request.UrlReferrer.ToString();
initialReferer
"http://localhost/Test/Default.aspx"
fakedReferer
"http://example.com/"
如果你使用ILSpy打开System.Web程序集,你会发现UrlReferrer属性类似于下面的样子:
public Uri UrlReferrer
{
get
{
if (this._referrer == null && this._wr != null)
{
string knownRequestHeader = this._wr.GetKnownRequestHeader(36);
if (!string.IsNullOrEmpty(knownRequestHeader))
{
try
{
if (knownRequestHeader.IndexOf("://", StringComparison.Ordinal) >= 0)
{
this._referrer = new Uri(knownRequestHeader);
}
else
{
this._referrer = new Uri(this.Url, knownRequestHeader);
}
}
catch (HttpException)
{
this._referrer = null;
}
}
}
return this._referrer;
}
}
Response.Redirect,假的引荐者将不会被保留,但是使用Server.Transfer却可以正常工作。 - Widor这可能无法帮助您获得所需的内容。但是您可以编辑HttpWebRequest的Referror。我认为在上下文中没有编辑请求引用程序的方法。
using System.Net;
HttpWebRequest Req= (HttpWebRequest)System.Net.HttpWebRequest.Create("http://somewhere.com/");
Req.Referer = "http://www.fakesite.com";