Answers:
在HTTP referer标头中可用。您可以按如下所示在servlet中获取它:
String referrer = request.getHeader("referer"); // Yes, with the legendary misspelling.但是,您需要意识到这是一个由客户控制的值,因此可以被欺骗为完全不同的东西甚至被删除。因此,无论返回什么值,您都不应将其用于后端中的任何关键业务流程,而应仅用于表示控制(例如,隐藏/显示/更改某些纯布局部分)和/或统计信息。
有兴趣的人可以在Wikipedia中找到有关拼写错误的背景。
null。
实际上,它是:
request.getHeader("Referer"),甚至更好,并且可以100%确定,
request.getHeader(HttpHeaders.REFERER)HttpHeaders在哪里com.google.common.net.HttpHeaders
getHeader(String name)(引用):"The header name is case insensitive."
org.apache.http.HttpHeaders
所有人都提到过
request.getHeader("referer");与接受的答案相比,我想添加更多有关引荐标头安全性方面的细节。在“开放式Web应用程序安全性项目(OWASP)”备忘单中,“ 跨站点请求伪造(CSRF)预防备忘单”下提到了引荐标头的重要性。
对于此推荐的Same Origin检查更重要的是,JavaScript无法设置许多HTTP请求标头,因为它们在“禁止”标头列表中。只有浏览器本身可以为这些标头设置值,从而使它们更值得信赖,因为甚至XSS漏洞都不能用来修改它们。
此处推荐的Source Origin检查依赖于以下三个受保护的标头:Origin,Referer和Host,这使其自身具有相当强大的CSRF防御能力。