请教 Web 安全大佬一个关于 Referer 的问题

2020-02-24 23:03:17 +08:00
 ragnaroks

假设有后端网站 HttpApi,域名 https://api.website.com
和静态前端(SPA) HttpWebsite,域名 https://www.website.com
且后端有接口 https://api.website.com/session

如果通过 HTTP 头中的 Referer 来判断,如果是 https://www.website.com 则输出如下格式的 session 数据

window.self.session={id:"abcd1234",uid:111};

这种情况下有哪些数据泄露的点?

943 次点击
所在节点    问与答
5 条回复
ragnaroks
2020-02-24 23:05:23 +08:00
referer 匹配依据是从左到右,遇到第三个"/"为止,然后取"//"与"/"之间的字符串做匹配,其实就是 host 部分
diaosi
2020-02-25 06:24:17 +08:00
伪造 referer 该看到的全能看到,但 session 拿不到应该没啥能泄露的。
ragnaroks
2020-02-25 13:10:16 +08:00
@diaosi 能伪造 referer 那么伪造 cookie 啥的也不是问题了,这种就让他看全也是没办法的
diaosi
2020-02-25 15:23:52 +08:00
@ragnaroks #3 referer 看流量就知道; cookie 只能看到自己的,猜肯定是没用的。其实我也有不明白你担心哪里出问题。
ragnaroks
2020-02-25 16:22:08 +08:00
@diaosi
我担心的是将会话直接写入页面 js 中了,有那些意料之外的获取这部分数据的可能.
毕竟拿到这个 sessionid,就能以该用户的身份进行操作了,而现在的项目里面可能涉及到现金余额

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/647240

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX