Что противопоставить фальсификации HTTP Referer?
1 ноября 2011, 22:03
Автор: 1234ru
Всяким third-party включениям на веб-страницах часто нужна информация о том, с какого сайта сделан к ним запрос (например, системам рекламы нужно знать, что за сайт собирается показывать у себя их объявления, и т.п.).
Ничто не мешает передать такой системе запрос, подсунув ему идентификатор произвольного сайта-участника (подсмотрев его в HTML-коде) и реферер (на случай, если он используется для дополнительной проверки/определения адреса страницы, где установлен скрипт, которая по отношению к такому скрипту является реферером).
Если система не предусматривает больше никаких проверок, то таким образом запрос будет сфальсифицирован.
Какие есть методы предотвращения таких действий?
Ничто не мешает передать такой системе запрос, подсунув ему идентификатор произвольного сайта-участника (подсмотрев его в HTML-коде) и реферер (на случай, если он используется для дополнительной проверки/определения адреса страницы, где установлен скрипт, которая по отношению к такому скрипту является реферером).
Если система не предусматривает больше никаких проверок, то таким образом запрос будет сфальсифицирован.
Какие есть методы предотвращения таких действий?