什么是Referer?Referer的作用?空Referer是怎么回事?

soゝso 2016-08-22 18:06:47 7190

什么是Referer?

Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  。比如我在www.sojson.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就有:

    Referer=http://www.sojson.com

由此可以看出来吧。它就是表示一个来源。看下图的一个请求的 Referer  信息。




这里有一个小问题要说明下。

Referer  的正确英语拼法是referrer 。由于早期HTTP规范的拼写错误,为了保持向后兼容就将错就错了。其它网络技术的规范企图修正此问题,使用正确拼法,所以目前拼法不统一。还有它第一个字母是大写。


Referer的作用?

1.防盗链。

刚刚前面有提到一个小 Demo 

我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:

Referer=http://www.sojson.com

那么可以利用这个来防止盗链了,比如我只允许我自己的网站访问我自己的图片服务器,那我的域名是www.sojson.com,那么图片服务器每次取到Referer来判断一下是不是我自己的域名www.sojson.com,如果是就继续访问,不是就拦截。

这是不是就达到防盗链的效果了?

2.防止恶意请求。

比如我的SOJSON网站上,静态请求是*.html结尾的,动态请求是*.shtml,那么由此可以这么用,所有的*.shtml请求,必须 Referer  为我自己的网站。

Referer=http://www.sojson.com

空Referer是怎么回事?什么情况下会出现Referer?

首先,我们对空 Referer  的定义为, Referer  头部的内容为空,或者,一个 HTTP  请求中根本不包含 Referer  头部。

那么什么时候 HTTP  请求会不包含 Referer  字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer  字段的,因为这是一个“凭空产生”的 HTTP  请求,并不是从一个地方链接过去的。

那么在防盗链设置中,允许空Referer和不允许空Referer有什么区别?

允许 Referer  为空,意味着你允许比如浏览器直接访问,就是空。

如下图:

这就是空的 Referer 

拒绝空的 Referer  。比如我的www.sojson.com的静态资源都是拒绝空的Referer 的。如下图,我访问我的一个图片。



看到了吧,直接拒绝访问了,如果有同学在测试我网站的静态资源的时候,记住强制刷新Ctrl + F5 ,因为浏览器有缓存,可能你开始还是可以访问的。

当然。这个你不能完全依赖 Referer  来做一些事情,因为这个最容易伪造来源。

每个语言,都可以,比如 Java  来模拟一个 Httpclient  请求。并且伪造来源。


/**
 * 从工信部获取验证码
 * @param session
 * @param response
 */
public static void getVCode(HttpSession session,HttpServletResponse response){
	
	InputStream inputStream = null;
	ServletOutputStream outStream = null;
	try {
		 //获取登录框的隐含参数 type="hidden" name="_xsrf"  
	    HttpClient client = new HttpClient();
		client.getParams().setParameter(HttpMethodParams.HTTP_CONTENT_CHARSET,"UTF-8");
		client.getParams().setCookiePolicy(CookiePolicy.BROWSER_COMPATIBILITY);
		GetMethod method = new GetMethod("http://www.miitbeian.gov.cn/getVerifyCode");
		method.setRequestHeader("Connection","close");
		method.setRequestHeader("Host", "www.miitbeian.gov.cn");
		method.setRequestHeader("Referer", "http://www.miitbeian.gov.cn/icp/publish/query/icpMemoInfo_showPage.action");
		method.setRequestHeader("User-Agent", "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0");
//		method.setRequestHeader("Cookie", (String)goon);
		client.executeMethod(method);
		Cookie[] cookies = client.getState().getCookies();
		String sid = "",uid="",goon="__jsluid=%s; JSESSIONID=%s";
		for (Cookie cookie : cookies) {
			String name = cookie.getName();
			String value = cookie.getValue();
			if("JSESSIONID".equals(name)){
				sid = value;
			}
			if("__jsluid".equals(name)){
				uid = value;
			}
		}
		goon = String.format(goon, uid,sid);
		//存储工信部Session信息
		session.setAttribute("goon", goon);
		
		inputStream= method.getResponseBodyAsStream();
		 //得到图片的二进制数据,以二进制封装得到数据,具有通用性  
	    byte[] data = CacheFindManager.readInputStream(inputStream);  
	    outStream = response.getOutputStream();
	    outStream.write(data);
	    outStream.flush() ;
	
	} catch (Exception e) {
		LoggerUtils.error(BeianGovManager.class, "获取验证码出现异常。", e);
	}finally{
		try {
			inputStream.close();
			outStream.close();
		} catch (IOException e) {
			LoggerUtils.error(BeianGovManager.class, "获取验证码后,关闭流出现异常,请忽略!", e);
		}
	}
}

好了,就这样吧,有疑问,加群@soso,或者下面留言。知无不言言无不尽。


版权所属:SO JSON在线解析

原文地址:https://www.sojson.com/blog/58.html

转载时必须以链接形式注明原始出处及本声明。

本文主题:

如果本文对你有帮助,那么请你赞助我,让我更有激情的写下去,帮助更多的人。

相关文章
什么RefererReferer作用Referer怎么回事
Description的作用,Description对SEO有什么影响
苹果电脑Mac怎么恢复出厂系统?苹果系统怎么重装系统?
中国人还相信什么什么都不相信了!
怎么合理管理、提高Javascript的性能
JSON是什么?它能带来什么?它和XML比较?
对Redis的理解,Redis是什么,Redis和Memcache谁快?
Shiro教程(一)Shiro 是什么?Shiro的简单介绍。
我为什么要选择RabbitMQ ,RabbitMQ简介,各种MQ选型对比
什么undefined、NaN和Infinity可以被赋值,而null不可以?
最新文章
Macbook teamviewer 突破5分钟,苹果电脑重置 Mac 地址,100%解决限制 220
腾讯云代金券 10000 元/ 30000 代金券领取技巧 324
SEO 换友情链接的主意事项,友情链接断链、友情链接套路说明 229
Springboot + Mybatis,数据库多数据源配置项目Demo【源码下载】 1903
Mac mtr 安装并使用,mrt: command not found 299
Java 集成阿里云消息队列,日志消息存储 497
域名备案注意事项,网站域名ICP备案快速通过攻略【干货分享】 472
Springboot 集成Aliyun MQ消息队列,Aliyun 消息队列配置及代码实现 837
SpringBoot 集成Spring-data-redis,redis对象序列化存储 2029
天气API,全国天气 JSON API接口,可以获取十五天的天气预报 604
最热文章
Elasticsearch教程(四) elasticsearch head 插件安装和使用 126781
免费天气API,全国天气 JSON API接口,可以获取五天的天气预报 108004
Elasticsearch教程(六) elasticsearch Client创建 78810
Elasticsearch教程(八) elasticsearch delete 删除数据(Java) 74434
Elasticsearch教程(二),IK分词器安装 73217
Elasticsearch教程(一),全程直播(小白级别) 65782
Elasticsearch教程(五) elasticsearch Mapping的创建 61877
Elasticsearch教程(三),IK分词器安装 (极速版) 56361
Elasticsearch教程(七) elasticsearch Insert 插入数据(Java) 53539
Java 解析JSON,JSON-LIB jar包下载和使用。 48973

骚码加入我们 / 千人QQ群:259217951

入群需要5元,如果没有QQ钱包,可以先Alipay、微信,赞助然后加群主拉进。

二维码生成 来自 >> 二维码生成器

支付扫码

所有赞助/开支都讲公开明细,用于网站维护:赞助名单查看

正在加载... ...