开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

你如何欺骗HTTP_REFERER？

欺骗HTTP_REFERER是指在网络请求中伪造或篡改HTTP_REFERER头部信息，以达到隐藏真实来源、跳过安全限制或追踪用户行为等目的。这种行为可能会被用于诈骗、盗窃隐私、钓鱼攻击等恶意行为。

以下是一些常用的欺骗HTTP_REFERER的方法：

使用JavaScript代码修改HTTP_REFERER头部信息。例如：

var xhr = new XMLHttpRequest();
xhr.open('GET', 'https://example.com', true);
xhr.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
xhr.setRequestHeader('X-HTTP-Referer', 'https://example.com');
xhr.send();

使用HTML中的meta标签修改HTTP_REFERER头部信息。例如：

<meta name="referrer" content="no-referrer">

使用第三方插件或浏览器扩展程序修改HTTP_REFERER头部信息。例如：

NoReferrer for Google Chrome：https://chrome.google.com/webstore/detail/noreferrer-for-google-ch/pnjkljndllapacdecbdddlcabhkkddmo
NoReferrer for Firefox：https://addons.mozilla.org/en-US/firefox/addon/noreferrer/

需要注意的是，欺骗HTTP_REFERER并不是一种安全的做法，因为它可能会被用于恶意行为。因此，在使用HTTP_REFERER进行安全限制时，需要谨慎处理，避免被欺骗。

相关搜索:如何隐藏$ _SERVER ['HTTP_REFERER']如何解决IP欺骗问题?如何欺骗NetworkInterface.getHardwareAddress() (Java)如何从$http_referer变量中删除斜杠如何在laravel中使用$ _SERVER ['HTTP_REFERER']；？如何欺骗VirtualBox客户的cpu温度？在Rails中测试时如何设置HTTP_REFERER？PHP - 如何从$ _SERVER ['HTTP_REFERER']获取参数值？如何在htaccess中从HTTP_REFERER获取域名 HTTP_REFERER不在request.META中，如何设置？C#如何欺骗WebRequest的IP地址如何使用PHP读取HTTP_REFERER中的Get值如何在nginx mod_perl中获取http_referer 你如何跟踪你的编程TODO？你如何维护你的程序词汇？你如何模拟你的存储库？你如何测试你的业务对象？你如何构建你的URL路由？你如何签署你的Firefox扩展？你如何测试你的Cocoa GUI？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

XSS 攻击防御之PHP

#### 就是通过把SQL命令、JS脚本等插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令.

02

HTTP请求头referer

留言板有个来源的字段，用来获取网页的地址。测试时发现在谷歌Chrome浏览器中，可以正确获取到网址来源，然后用火狐Firefox浏览器，却无法正确获取到网址来源。因为后台使用的是PHP，留言成功之后通过JS弹出alert提示框，然后再通过location.href跳转回留言页面。

03

【第19期】HTTP请求头referer

留言板有个来源的字段，用来获取网页的地址。测试时发现在谷歌Chrome浏览器中，可以正确获取到网址来源，然后用火狐Firefox浏览器，却无法正确获取到网址来源。因为后台使用的是PHP，留言成功之后通过JS弹出alert提示框，然后再通过location.href跳转回留言页面。

02

Apache 模块 mod rewrite RewriteCond 通过检查HTTP REFERER避免

在避免静态图片盗链时，可以用RewriteCond检查referer，如果不是来自于特定的网站或搜索引擎，则转向另一个页面。在使用这些 RewriteCond和不使用之间作比较，每条RewriteCond将降低速度1%以上，随着这个列表的增长，对于速度的影响将进一步突出。因此使用大量RewriteCond来保护静态内容的方案，虽然能减和网络流量，但是也会消耗服务器性能。在具体使用过程中一定要平衡各方面条件。

02

通过.htaccess防盗链

最近网上有人抱怨10G的流量莫名其妙就没了，因为没有防止图片盗链。我也在想，我的这个小站流量每个月也不过十多G，要是盗链的话也不能撑多久。而且我用的是DA面板，没有防盗链的设置。但因为服务器用的是Apache服务器，所以我可以方便地用.htaccess文件设置我的防盗链功能。

01

ASP.NET / Core 网站图片防盗链

作为网站开发者，我们有时候不希望自己网站地上的图片被其他网站直接引用。这在某些场景下会导致自己数据中心里巨大的带宽消耗，也就意味着别人使用我们的图片，而我们要为此付钱。例如，你的网站是a.com，你有一张图片是http://a.com/facepalm.jpg，而b.com在他们的网站上使用一个img标签来引用了你的图片，这导致网络请求是进入你的数据中心，消耗你的资源。

02

CSRF(跨站请求伪造)学习总结

参考大佬的文章，附上地址 https://www.freebuf.com/articles/web/118352.html

03

PHP中HTTP防盗链技术

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。其实说白了就是我自己网站上不挂东西，直接从你的网站远程访问，这样一来节约了自己的空间，而来很多东西可以直接用别人的。比如你看到一篇好的文章直接复制到自己博客，可能不小心把a链接也复制过来了，然后你的文章就指向别人的网站，继续这篇文章调用别人网站的资

05

PHP中HTTP防盗链技术

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

08

PHP中HTTP防盗链技术

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

02

防盗链Apache和Nginx配置对比

一般我们使用的主机每月都有固定的流量，如果当月额度用完服务器可能会暂停，有些是占用太大的流量会影响网站的访问速度。所以，我们在有必要的前提下可以设置服务器的图片或者其他静态资源防盗链。

02

Apache 防盗链的技术小结

Apache 防盗链的第一种实现方法，可以用 rewrite 实现。一. 遭遇图片盗链

00

Nginx - 在Nginx中透传客户端真实IP的技巧

在使用 Nginx 作为反向代理服务器时，默认情况下，后端服务器只能看到 Nginx 的 IP 地址。为了记录日志、限制访问或进行其他基于 IP 地址的操作，获取客户端的真实 IP 地址非常重要。

00

传说中图片防盗链的爱恨情仇

我们先来了解了解防盗链的原理，在 http 协议中，如果从一个页面跳到另一个页面，header字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名，来进行防盗链。

04

Apache、Nginx、IIS防盗链方法「建议收藏」

要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。一来可以追溯上一个入站地址是什么，二来对于资源文件，可以跟踪到包含显示他的网页地址是什么，因此所有防盗链方法都是基于这个Referer字段。

02

基础知识点总结

//简单实现json到php数组转换功能 private function simple_json_parser($json){ $json = str_replace("{","",str_replace("}","", $json)); $jsonValue = explode(",", $json); $arr = array(); foreach($jsonValue as $v){ $jValu

04

咱妈说别乱点链接之浅谈CSRF攻击

04

django 取消csrf限制的实例

补充知识：Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题

01

Linux VPS下Nginx与Apache环境防盗链设置方法

说明：很多人的VPS流量有限，有的人在VPS中放了一首MP3用来作为背景音乐，但被搜索引擎列为试听/下载地址，放的图片和文件地址也会别人盗用，可想而知流量会消耗多快，这时候我们需要设置防盗链来阻止这样的事发生。

03

Linux VPS下Nginx与Apache环境防盗链设置方法

说明：很多人的VPS流量有限，有的人在VPS中放了一首MP3用来作为背景音乐，但被搜索引擎列为试听/下载地址，放的图片和文件地址也会别人盗用，可想而知流量会消耗多快，这时候我们需要设置防盗链来阻止这样的事发生。

00

htaccess文件使用

拒绝来自某个IP的访问如果我不想某个政府部门访问到我的站点的内容，那可以通过.htaccess中加入该部门的IP而将它们拒绝在外。例如： order allow,deny deny from 210.10.56.32 deny from 219.5.45. allow from all 第二行拒绝某个IP，第三行拒绝某个IP段，也就是219.5.45.0~219.2.45.255 想要拒绝所有人？用deny from all好了。不止用IP，也可以用域名来设定。保护.htac

Nginx屏蔽或禁止指定来源网站访问

在nginx.conf的server配置项中加入 1.访问返回403 if ($http_referer ~* "xxx.com") { return 403; } 2.访问跳转指定网站 if ($http_referer ~* "xxx.com") { rewrite ^/ http://www.xxx.com/; } 3.禁止多域名 if ($http_referer ~* "xxx.com|aaa.com") { rewrite ^/ http://www.xxx.com/; }

01

微博图床失效? 笨办法解决

就在前几日, 微博图床加入了防盗链, 只要你有referer引用就会返回403. 但是直接访问是可以的.

01

nginx自定义access访问日志格式

Nginx访问日志格式是由变量和字符串组成的格式化字符串。其中变量代表了需要记录的请求信息，字符串则代表了日志记录的格式。Nginx预定义了很多变量，如下所示：

02

nginx日志格式分析

这其中有个$http_x_forworded_for ，当前端有代理服务器时，设置web节点记录客户端IP，同时代理服务器也需要进行相关http_x_forworded_for的配置

01

Nginx 服务指标监测

ngxtop 解析您的 nginx 访问日志，并输出 top nginx服务器有用的（类似）指标。因此，您可以实时了解服务的状况。

01

图片和视频防盗链简单介绍

一. 防盗链原理 http 协议中，如果从一个网页跳到另一个网页，http 头字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名，来进行防盗链。设置突破防盗链方法 1. 使用apache文件FileMatch限制，在httpd.conf中增加 ( 其实也可以将把下面的语句存成一个.htaccess文件)，并放到你的网站的根目录（就是www/html目录），这样子别人就没有办法盗连你的东东了~~ SetEnvIfNoCase Referer "^http://kuaisho

07

PHP获取从搜索引擎进入网站的关键词

V站笔记 <?php function search_word_from() { $referer = isset($_SERVER['HTTP_REFERER'])?$_SERVER['HTTP_R

07

保姆级Nginx日志配置文件总结

Nginx服务器日志相关指令主要有两条：一条是log_format，用来设置日志格式；另外一条是access_log，用来指定日志文件的存放路径、格式和缓存大小，可以参加ngx_http_log_module。一般在Nginx的配置文件的日志配置(/usr/local/nginx/conf/nginx.conf)。

08

IIS7.5配置防盗链

首先，要下载、安装一个IIS 重写模块。是到微软站点下载的，可以放心了。（靠，之前以为IIS7是内置了的，想不到还是要另外安装东西）

03

手把手教你，嘴对嘴传达------Apache（安全优化防盗链、隐藏版本信息）

防盗链就是防止别人的网站代码里面盗用服务器的图片，文件，视频等相关资源如果别人盗用网站的这些静态资源，明显的是会增大服务器的带宽压力作为网站的维护人员，要杜绝我们服务器的静态资源被其他网站盗用

02

xss一些小脚本

xss配合php获取cookie和session的脚本 <?php $ip = $_SERVER['REMOTE_ADDR']; $to='xxx@yeah.net'; $referer = $_SE

02

Nginx结构全解析（88）

配置在server字段或者http字段或者location字段 if ($http_referer ~* "www.baidu.com") { rewrite ^/(.*)$ http://www.lishiming.net; } if ($http_referer ~* "www.google.com") { rewrite ^/(.*)$ http://www.lishiming.net; }

00

php简单防盗链案例

盗链是指在自己的页面上展示一些并不在自己服务器上的内容。整体来说，盗链是获得他人服务器上的资源地址，绕过别人的资源展示页面，直接在自己的页面上向最终用户提供此内容。通过盗链的方法可以减轻自己服务器的负担，因为真实的空间和流量均是来自别人的服务器。

02

Nginx和Apache日志格式分析

1、nginx日志格式 log_format main ‘$remote_addr – $remote_user [$time_local] “$request” ‘ ‘$status $body_bytes_sent “$http_referer” ‘ ‘”$http_user_agent” “$http_x_forwarded_for”‘; $remote_addr 远程请求使用的IP地址 $remote_user 远程登录名（这个可以省略去） $time_local 时间，普通日志时间格式

05

简单配置.htaccess就可以实现的几个功能

之前说过.htaccess 文件的使用，htaccess 文件是 Apache 服务器中的一个配置文件，它负责相关目录下的网页配置。通过 htaccess 文件，可以帮我们实现：网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能，这里说一下平常简单配置.htaccess 就可以实现的几个功能反盗链那些盗用了你的内容，还不愿意自己存储图片的网站是很常见的。你可以通过以下配置来放置别人盗用你的图片： RewriteBase /

04

Linux Apache主机设置ZBLOG PHP防盗链图片的方法

我们一般选择的云服务器都是有带宽或者流量限制的，甚至我们在将网站的图片静态文件丢入对象存储，对象存储空间也是按照流量计费。如果我们的网站被盗链图片，可能会导致流量流失比较大，当然是有消耗我们的成本的，于是我们会使用到防盗链的方法。

02

HDwiki时间延迟盲注及利用代码

hdwiki某处对referer未做过滤，造成sql注入但因为没有输出点，只能做盲注。基于时间的盲注脚本已写好，测试可注入出“光明网百科”等百科网站的管理员密码md5值：

02

IIS 下利用UrlRewriter做图片防盗链

上面的实例中只有用test.com和fengzili.com来访问这个网站的时候，资源才会正常显示。

02

Nginx 日志格式配置介绍

log_format main '$remote_addr - $remote_user [$time_local] "$request" '

01

php 该如何获取从百度搜索进入网站的关键词

清源分享一个php获取从百度搜索进入网站的关键词的代码，有需要的朋友可以参考一下： https://blog.csdn.net/u012275531/article/details/17609065

01

logstash配置codec插件-JSON模式

配置nginx日志 log_format json '{"remote_addr":"$remote_addr" ,"host":"$host" ,"server_addr":"$server_addr" ,"timestamp":"$time_iso8601" ,"request_time":$request_time, "remote_user":"$remote_user", "request":"$request" ,"status":$status, "body_sent":$body_byte

RewriteCond和13个mod_rewrite应用举例Apache伪静态

大家好，又见面了，我是你们的朋友全栈君。 1．给子域名加www标记 RewriteCond %{HTTP_HOST} ^([a-z.]+)?example.com$ [NC] Rewri

02

Nginx配置中的log_format用法梳理（设置详细的日志格式）

nginx服务器日志相关指令主要有两条：一条是log_format，用来设置日志格式；另外一条是access_log，用来指定日志文件的存放路径、格式和缓存大小，可以参加ngx_http_log_module。一般在nginx的配置文件中日记配置(/usr/local/nginx/conf/nginx.conf)。 log_format指令用来设置日志的记录格式，它的语法如下： log_format name format {format ...} 其中name表示定义的格式名称，format表示定义的格式

07

隔山打牛之-借助nginx解析rgw日志

知识tips:一般情况下每一个客户端发往RGW的HTTP请求都会在其header里面包含authorization这个字段，该字段中包含了用户的Access_key信息，但是AWS2和ASW4两种签名格式各不相同。背景:业务在访问RGW服务的时候会记录对应的log，对比nginx一类的专业产品，原生的RGW日志格式和内容都太过粗糙，如果去改动RGW代码虽然可以满足需求，但是后续格式变化又要批量更新RGW，对运维造成不便，而且从管理的角度来看这类改动收益较低。因此从充分解耦的思想出发，想借助nginx来实现日志格式的标准化管理，因此在RGW前端架设了一层nginx作为反向代理。但是原生的nginx日志是无法解析出每个HTTP请求的authorization字段的，因此有了这篇文章。

02

Apache rewrite Url

本文主要介绍Apache环境下，如何使用mod_rewrite模块完成URL重写功能。

00

.htaccess 文件使用手册

什么是 .htaccess 文件？概述来说，htaccess 文件是 Apache 服务器中的一个配置文件，它负责相关目录下的网页配置。通过 htaccess 文件，可以帮我们实现：网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。理解 WordPress 的 htaccess # BEGIN WordPress #这是一行注释，表示 WordPress 的 htaccess 从这里开始 #如果 Apache

04

apache防盗链

#防盗链 RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ [NC] RewriteCond %{HTTP_REFERER} !phpfs.com [NC] RewriteRule .*.(gif|jpg|png)$ http://www.phpfs.com/ [R,NC,L] 第一行是开启第二行是允许空的http_pefferer访问，这样设置是因为有的使用代理的就没有这个了。所以大部分网站还是允许用代理访问的！第三个仅仅允许phpf.com网站访

04

.htaccess的重写规则

.htaccess是Apache服务器的一个非常强大的分布式配置文件。正确的理解和使用.htaccess文件，可以帮助我们优化自己的服务器或者虚拟主机。

03

PHP使用curl模拟ip和来源进行访问

对于限制了ip和来源的网站，使用正常的访问方式是无法访问的。本文将介绍一种方法，使用php的curl类实现模拟ip和来源，访问那些限制了ip和来源的网站。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭