Добрый день.
Делаю виджет, вставляемый на сайт клиента js-кодом
js формирует iframe, в котором виджет
Мой сервер получает домен клиента, на котором грузится виджет, пo HTTP_REFERER
Может ли пользователь как-то подменить этот HTTP_REFERER ?
Цитата (FatCat @ 28.04.2016 - 09:33) |
Может. HTTP_REFERER отправляет браузер пользователя, и эти данные можно подделать. Например, в Опере 11.62 есть небезопасные "инструменты разработчика", позволяющие редактировать кеш браузера в режиме отображения. Таким образом, я могу открыть страницу любого сайта, в кеше вставить код твоего айфрейма - у меня в браузере отобразится твой айфрейм на странице чужого сайта, а тебе на сервер придет запрос якобы с того сайта, чей кеш я буду редактировать. |
Цитата (FatCat @ 28.04.2016 - 10:37) |
Никак. Всё, что передает браузер, может быть подделано. |
document.write("<iframe name=\"+((document.location+'').split(':\/\/')[1]).split('\/')[0]+\"\></iframe>");