请教 Web 安全大佬一个关于 Referer 的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1533 天前的主题，其中的信息可能已经有所发展或是发生改变。

假设有后端网站 HttpApi,域名 https://api.website.com
和静态前端(SPA) HttpWebsite,域名 https://www.website.com
且后端有接口 https://api.website.com/session

如果通过 HTTP 头中的 Referer 来判断,如果是 https://www.website.com 则输出如下格式的 session 数据

window.self.session={id:"abcd1234",uid:111};

这种情况下有哪些数据泄露的点?

5 条回复 • 2020-02-25 16:22:08 +08:00

ragnaroks

2020-02-24 23:05:23 +08:00

referer 匹配依据是从左到右,遇到第三个"/"为止,然后取"//"与"/"之间的字符串做匹配,其实就是 host 部分

diaosi

2020-02-25 06:24:17 +08:00

伪造 referer 该看到的全能看到，但 session 拿不到应该没啥能泄露的。

ragnaroks

2020-02-25 13:10:16 +08:00

@diaosi 能伪造 referer 那么伪造 cookie 啥的也不是问题了,这种就让他看全也是没办法的

diaosi

2020-02-25 15:23:52 +08:00

@ragnaroks #3 referer 看流量就知道； cookie 只能看到自己的，猜肯定是没用的。其实我也有不明白你担心哪里出问题。

ragnaroks

2020-02-25 16:22:08 +08:00

@diaosi
我担心的是将会话直接写入页面 js 中了,有那些意料之外的获取这部分数据的可能.
毕竟拿到这个 sessionid,就能以该用户的身份进行操作了,而现在的项目里面可能涉及到现金余额