Bal*_*usC 301
它在HTTP referer标头中可用.您可以在servlet中获取它,如下所示:
String referrer = request.getHeader("referer"); // Yes, with the legendary misspelling.
但是,您需要意识到这是一个客户端控制的值,因此可以欺骗完全不同甚至删除的东西.因此,无论它返回什么值,您都不应该将它用于后端中的任何关键业务流程,而只应用于表示控制(例如隐藏/显示/更改某些纯布局部分)和/或统计信息.
有兴趣的话,有关拼写错误的背景可以在维基百科中找到.
wpo*_*ski 24
实际上它是:
request.getHeader("Referer")甚至更好,并且100%肯定,
request.getHeader(HttpHeaders.REFERER)HttpHeaders是com.google.common.net.HttpHeaders
Chr*_*s K 16
URL在请求中传递:request.getRequestURL().
如果您指的是其他链接到您的网站?您想要捕获HTTP Referrer,您可以通过调用来执行以下操作:
request.getHeader("referer");
正如所有人都提到的那样
request.getHeader("referer");
我想补充一些关于referer header的安全方面的细节,与已接受的答案形成对比.在Open Web Application Security Project(OWASP)备忘单中,在跨站点请求伪造(CSRF)预防备忘单下,它提到了referer header的重要性.
更重要的是,对于此推荐的Same Origin检查,JavaScript无法设置许多HTTP请求标头,因为它们位于"禁止"标头列表中.只有浏览器本身可以为这些标头设置值,使它们更可靠,因为甚至不能使用XSS漏洞来修改它们.
这里推荐的Source Origin检查依赖于其中三个受保护的头:Origin,Referer和Host,使其成为一个非常强大的CSRF防御.
您可以在此处参考禁止标题列表.用户代理(即:浏览器)可以完全控制这些标头而不是用户.
| 归档时间: |
|
| 查看次数: |
133758 次 |
| 最近记录: |