Wid*_*dor 7 asp.net spoofing referrer
这里和其他各种网站上的答案通常都充满警告,不要信任HTTP Referrer标题,因为它们"很容易"被欺骗或伪造.
在我再进一步之前 - 不,我没有好处 - 但我确实想要运行一些与推荐人相关的测试.
虽然我不怀疑关于虚假推荐人的警告是真的,但我真的找不到关于它们如何被操纵的详细信息.甚至维基百科的文章也只是笼统地谈论它.
我即将玩FireFox 的RefControl插件.
以编程方式(在ASP.NET中)UrlReferrer是一个只读属性,所以我不知道如果我无法设置它,我怎么能用假引用数据来触发请求?我真的必须手动完成吗?
我如何使用ASP.NET使用用户提供的变量向我的站点发送请求以填充referrer标头?
编辑:根据我下面的评论,我理想地想要接收传入的请求,管理引用者数据,然后将请求传递到另一个页面,完好无损.如果我可以通过从头开始构建一个新的并且复制原始属性来使其看起来完好无损,那么这也很好.
我不知道这究竟是你想要的,但总的来说,你应该能够通过使用一些反射来欺骗UrlReferer属性的值(即使它是只读的)HttpContext.Current.Request.
例如:
FieldInfo fi = HttpContext.Current.Request.GetType().GetField("_referrer", BindingFlags.NonPublic | BindingFlags.Instance);
string initialReferer = HttpContext.Current.Request.UrlReferrer.ToString();
if (fi != null)
fi.SetValue(HttpContext.Current.Request, new Uri("http://example.com"));
string fakedReferer = HttpContext.Current.Request.UrlReferrer.ToString();
在VS; 这些是更改UrlReferrer之前和之后的值:
initialReferer
"http://localhost/Test/Default.aspx"
fakedReferer
"http://example.com/"
如果您使用ILSpy打开System.Web程序集,您会注意到UrlReferrer属性如下所示:
public Uri UrlReferrer
{
get
{
if (this._referrer == null && this._wr != null)
{
string knownRequestHeader = this._wr.GetKnownRequestHeader(36);
if (!string.IsNullOrEmpty(knownRequestHeader))
{
try
{
if (knownRequestHeader.IndexOf("://", StringComparison.Ordinal) >= 0)
{
this._referrer = new Uri(knownRequestHeader);
}
else
{
this._referrer = new Uri(this.Url, knownRequestHeader);
}
}
catch (HttpException)
{
this._referrer = null;
}
}
}
return this._referrer;
}
}
| 归档时间: |
|
| 查看次数: |
6382 次 |
| 最近记录: |