【网络安全】开发中存在的重定向与Referer问题

最新推荐文章于 2025-12-29 10:06:20 发布

原创最新推荐文章于 2025-12-29 10:06:20 发布 · 3.3k 阅读

5 ·

CC 4.0 BY-SA版权

原创文章，禁止转载，否则保留追究法律责任的权利。

文章标签：

#web安全 #项目开发

网络安全新手快速入门(附漏洞挖掘案例) 专栏收录该内容

314 篇文章 ¥49.90 ¥99.00

订阅专栏

超级会员免费看

原创文章，禁止转载。

文章目录

重定向问题
Referer问题

重定向问题

在项目开发过程中，活动详情界面通常允许未登录用户（访客）访问。其业务逻辑为：当访客点击“参与活动”时，如果已登录，访客可以直接参与活动；如果未登录，则会重定向至登录界面。完成注册或登录后，访客将被重定向回活动详情界面。

默认安全下，重定向功能接受外部可控参数时，后端代码判断参数为白名单URL后，再进行跳转。

安全代码如下：

$allowed_urls = [
    'http://127.0.0.1/Test/activity.php',
    'http://127.0.0.1/Test/home.php'
];

function Redirect

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

秋说

关注关注

5
点赞
踩
5

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

网络安全服务基础Windows--第11节-WEB服务与虚拟主机

m0_65771743的博客

09-02

4759

Web上的信息是由彼此关联的⽂档组成的，⽽使其连接在⼀起的是超链接(Hyperlink)通过创建虚拟⽬录，你可以将服务器上任意位置的⽂件或⽂件夹通过⼀个特定的 URL 访问，⽽不需要将这些⽂件或⽂件夹直接放在⽹站的根⽬录下。当前最新的版本，⽀持所有现代浏览器，引⼊了新的元素和API，改进了多媒体⽀持（如audio和video标签），并加强了Web应⽤程序的功能。请求头包含了关于请求和请求的资源的元数据。请求的资源已被永久的移动到新URI，返回信息会包括新的URI，浏览器会⾃动定向到新URI。

数据包referer头中敏感信息的安全问题

05-15

881

文章摘要：本文探讨了数据包中的referrer头中的敏感信息的安全问题，重点分析了Referrer-Policy的作用及其对信息泄露的影响。通过img标签的src属性可控的场景，攻击者可以窃取包含token等敏感信息的referer头。文章演示了在启用unsafe-url策略时，攻击者如何利用监听脚本获取受害者的token，并对比了默认策略下referer头的行为差异。最后，介绍了Referrer-Policy的常见取值及其应用场景，强调了合理设置策略以保护用户隐私和安全的重要性。

5 条评论您还未登录，请先登录后发表或查看评论

URL重定向，referer，referrer和安全

热门推荐

奥特打小怪的博客

08-04

2万+

URL重定向,referer，referrer和安全，

java 重定向 设置referer_重定向下referer的问题

weixin_35171513的博客

02-13

2292

浏览器请求的'/'的时候，假如服务器重定向到'/test'，这个时候请求'/test'的headers里面会有referer吗？为什么？怎样可以让浏览器带上？var express = require('express'), http = require('http'), path = require('path');var app = express();app.configure(functi...

HTTP 请求“报头”——Referer 和 Cookie

小蜗牛的珍贵百宝箱

12-24

4439

请求头携带客户端存储的cookie信息，服务器可以通过这些信息识别用户、维持会话状态、执行个性化操作等。Cookie是由服务器发送给浏览器并存储在浏览器中的一小块数据，浏览器在后续的请求中会自动带上这些cookie。（注意拼写有误，实际为“Referrer”）是HTTP请求报头中的一项，用来表示当前请求是从哪个页面跳转过来的。这两个请求头是现代Web开发中的基础，对于提高用户体验、增强安全性和进行精准的用户行为分析非常重要。当用户从页面A点击链接跳转到页面B时，页面B的HTTP请求会携带来自页面A的。

Servlet请求转发与重定向的详细介绍

go24k的博客

09-12

1643

请求的转发，是服务器内部的独立行为，客户端用户是不可见的。出于复杂的业务需求或架构的需要，一个请求进入后，可能需要多个servlet配合完成。请求在一个servlet中完成处理后，就调用RequestDispatcher，将请求转发到下一个servlet，直至最后一个servlet处理完，响应给客户端。

Vue 访问外链失败问题

WEB-Yao

08-24

2153

当前页访问跳转到目标页，目标页会在headers中收到 referrer 信息，referrer里面存储的是用户从哪个页面跳转到目标页的信息，也就是说发起请求的时候，请求头中带有从哪个页面来的信息，网站会将引用地址记录以便追踪用户的动态或进行统计，大部分分析软件也都会处理这个信息。一般会从两方面去考虑：隐私和安全。

复杂网络应对术：在重定向与异步请求中维持Header注入一致性的4种方法

# Header注入的现代挑战与工程化治理之道在智能家居设备日益复杂的今天，确保无线连接的稳定性已成为一大设计挑战……等等，这好像不是我们要讲的内容。咱们今天要聊的，是另一个“看不见却无处不在”的技术难题...

17、网络安全监控：DNS与Web代理的深入解析

desk3的博客

07-22

本文深入探讨了网络安全监控中DNS服务与Web代理的重要作用及其监控策略。首先分析了DNS服务的工作机制、监控优势与RPZ检测的应用场景，并探讨了其局限性。随后，详细解析了Web代理在HTTP流量管理、威胁预防和日志记录方面的功能优势及实际案例应用。同时，也指出了Web代理在性能、兼容性、SSL检查及非标准端口处理方面的挑战。最后总结了在实际部署中需综合考虑网络环境与安全策略，以实现更高效的网络安全防护。

java 重定向 设置referer_AuthenticationSuccessHandler，登录后重定向和referer

weixin_39664994的博客

02-25

1434

我刚刚在这个论坛的帮助下添加了一个AuthenticationSuccessHandler，当用户通过fosuserbundle或fosfacebookbundle登录时，我会在我的网站上实现重定向 . 当用户完成或不完成配置文件时，重定向会发生更改，如果已完成，我希望将其重定向到之前的位置，这就是我使用referer变量的原因 .namespace Me\MyBundle\Handler;use...

referer检测&url跳转

balance的博客

05-07

6615

一、检测referer的场景》缓解CSRF攻击若referer为空，或referer不属于自身域及子域，则拒绝后续操作（更改密码、更改昵称）》加固以jsonp方式获取信息譬如，链接https://passport.jd.com/loginservice.aspx?callback=jQuery8483115&method=UserInfo&_=152291428...

response对象&重定向 详解

东方

10-26

1万+

2018年10月26日16:10:47 于易动客户端浏览器和服务器：请求的时候： request对象： HttpServletRequest 响应的时候： response对象： HttpServletResponse service(HttpServletRequest request, HttpServletResponse response ) 这两个参数对象，...

让https网站发送 referrer

____

03-21

2552

本文描述了一个关于 http 协议中 referer 的 metadata 参数的提议，使用这个 metadata 参数，html 文档可以控制 http 请求中的 referer ，比如是否发送 referer、只发送 hostname 还是发送完整的 referer 等。虽然有一些方法可以控制 referer ，比如 flash，以及一些 js 的 tricks，但是本文中描述的是另外一番景象。

JavaScript重定向Referer丢失

编程的世界

04-20

3254

最近做了一些异步回调中转跳转页，用到了js重定向，发现Referer在IE8存在兼容想问题：中转页跳转到目的页后，发现目的页中丢失了Referer 原因：ie8浏览器下，使用window.location.href重定向，就会丢失Referer 解决办法：js重定向会丢失Referer,但是a标签跳转过来不会丢失Referer,所以我们采用以下方法解决js重定...

meta使用referrer要注意的问题

weixin_43627766的博客

06-11

8939

referrer meta属性 <meta name="referrer" content="never"> 有时候为了禁止自己的网页发送refer信息，经常会用到这个属性，该属性禁止了header发送页面相关信息，虽然可以阻止一些攻击以及绕过图片防盗链的效果但是也会造成一定的问题，比如在后台中使用了该标签，会导致js和php的一些跳转出现问题，比如js的history.back(...

前端怎么获取cookie的值_作为前端你必须要了解的安全性问题！

weixin_39881513的博客

12-01

1162

前端技术不断发展，安全性的问题也越来越受到关注。作为前端工程师，保障网络安全也越来越重要。XSS攻击XSS(Cross Site Scripting)跨站脚本攻击。攻击者在网站上植入非法的html或是JavaScript代码，将受害者重定向到一个被攻击者控制的恶意网站，在恶意网站中对用户的隐私(如cookie)进行盗取。反射型XSS攻击对用户的输入进行简单的浏览器反射。常见的在网页端设置一个连接，...

Web安全之SQL注入-CSRF-XSS