Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Подмена реферера
Pandion  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Старик
***

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 125
Пользователь №: 27866
На форуме: 5 лет, 6 месяцев, 18 дней
Карма:




Добрый день.

Делаю виджет, вставляемый на сайт клиента js-кодом
js формирует iframe, в котором виджет

Мой сервер получает домен клиента, на котором грузится виджет, пo HTTP_REFERER

Может ли пользователь как-то подменить этот HTTP_REFERER ?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5902
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 23 дня
Карма: 125

Не пью :
22 года, 2 месяца, 26 дней


Может.
HTTP_REFERER отправляет браузер пользователя, и эти данные можно подделать.
Например, в Опере 11.62 есть небезопасные "инструменты разработчика", позволяющие редактировать кеш браузера в режиме отображения. Таким образом, я могу открыть страницу любого сайта, в кеше вставить код твоего айфрейма - у меня в браузере отобразится твой айфрейм на странице чужого сайта, а тебе на сервер придет запрос якобы с того сайта, чей кеш я буду редактировать.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Pandion  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Старик
***

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 125
Пользователь №: 27866
На форуме: 5 лет, 6 месяцев, 18 дней
Карма:




Цитата (FatCat @ 28.04.2016 - 09:33)
Может.
HTTP_REFERER отправляет браузер пользователя, и эти данные можно подделать.
Например, в Опере 11.62 есть небезопасные "инструменты разработчика", позволяющие редактировать кеш браузера в режиме отображения. Таким образом, я могу открыть страницу любого сайта, в кеше вставить код твоего айфрейма - у меня в браузере отобразится твой айфрейм на странице чужого сайта, а тебе на сервер придет запрос якобы с того сайта, чей кеш я буду редактировать.

Как в таком случае можно обезопаситься?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5902
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 23 дня
Карма: 125

Не пью :
22 года, 2 месяца, 26 дней


Никак.
Всё, что передает браузер, может быть подделано.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Pandion  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Старик
***

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 125
Пользователь №: 27866
На форуме: 5 лет, 6 месяцев, 18 дней
Карма:




Цитата (FatCat @ 28.04.2016 - 10:37)
Никак.
Всё, что передает браузер, может быть подделано.

Тогда может как-то по-другому определять домен, на котором грузится виджет?
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5902
Пользователь №: 1
На форуме: 10 лет, 9 месяцев, 23 дня
Карма: 125

Не пью :
22 года, 2 месяца, 26 дней


В любом случае, информация будет отдаваться браузером, и ее можно подделать. Джаваскрипт выполняется в браузере.

Можно наделать ловушек. Чем больше будет ловушек, и чем они хитрее - тем больше шансов, что не смогут подделать.

Например использовать в качестви имени айфрейма домен страницы:
document.write("<iframe name=\"+((document.location+'').split(':\/\/')[1]).split('\/')[0]+\"\></iframe>");

А отдавать виджет в айфрейм с именем, получаемом из HTTP_REFERER.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
tceburashka.com  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 21
Пользователь №: 42890
На форуме: 7 месяцев, 7 дней
Карма: 2




Привет. основной js код у тебя на основной странице? Если да, то действия следующие. JS код проверяет, что он не во фрейме,а в строке браузера твой URL и затем загружает твой виджет со специальным ключём. Ключ этот единоразовый и только для этой сессии. Если ключ приходит левый и с левого IP - выдавайте сообщение и не грузите свой виджет.


--------------------
Парсинг - автоматизация ручной работы. http://tceburashka.com
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса