上次发的一篇文章《都是referer惹的祸》。介绍了referer带来的潜在安全风险。
这次来简单说下如何保护好你的referer,由于我什么时间写长篇大论,就简单几个tips吧。
1、学习下微薄t.qq.com/t.sina.com.cn的网址缩短服务,这个服务等于是真实referer的中间代理,这一代理就将真实的referer隐藏了:),你也可以不必使用缩短服务,你弄个统一的跳转服务即可,这个可以学习下gmail里点击链接的情况。
2、使用https来保护你的网站服务,此时referer在https层传输,泄露不了。
3、个人用户尤其是管理员们,使用FF的No Referer插件或者类似的插件,在FF的附加组件里搜“referer”。
4、完全封闭的web服务,链接都不可点击,而要复制出去,然后再打开的这种极端情况,那没什么可说的。
大家还有什么其他方式?
update 3/23:
pz提示第1点有问题:a.html->302.php->b.html,refer还是a.html 至少在ff里是这样。
我才发现原来t.qq.com的网址缩短服务是301跳到目标网站的,会带上源referer,t.sina.com.cn是302也一样。我本以为这个中间过程会出现个200状态码,原来不是。
heige提示第2点有问题:https->https是可以抓到referer的,我没测试,pz也说可以。大家相信他们:)