Как правило, вы должны , а не доверять заголовку HTTP Referer по любым важным вопросам, за исключением чисто информативного статистического анализа того, кем являются ваши посетители, или при поиске моделей поведения среди пользователейВаш собственный сайт.
Ни при каких обстоятельствах не рекомендуется использовать этот заголовок для AAA (Аутентификация, Авторизация и Учет), если, как указано выше, вы не считаете Учет простым анализом трафика вашего посетителя.
OWASP (Open Security Application Project Project) считает его "уязвимым", используя заголовок Referer для AAA в вашем веб-приложении .
Некоторые другие, более конкретные причины, по которым нетчтобы доверять заголовку Referer, включите:
Как правило, при «связывании» из соединения HTTP <-> HTTPS (TLS) большинство стандартных веб-браузеров не сообщают этот заголовок.
По причинам конфиденциальности многие корпоративные прокси настроены на удаление / stразорвите этот заголовок, поэтому, даже если веб-браузер отправит этот заголовок, корпоративное прокси-программное обеспечение может удалить его.
Из-за диких решений безопасности, вредоносных программ, браузеров, встроенных в приложения ...Известно, что они изменяют и / или изменяют содержимое этого заголовка.
Осторожно, что:
- При «связывании» с HTTPS на HTTPS, большинство стандартныхВеб-браузеры будут сообщать этот заголовок даже при изменении имени домена или адреса сети.