PHP $_SERVER['HTTP_REFERER'] 无效

最新推荐文章于 2021-03-18 16:59:47 发布
原创 最新推荐文章于 2021-03-18 16:59:47 发布 · 4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨PHP中的超级全局变量$GLOBALS和$_SERVER的作用与应用场景,特别是$_SERVER['HTTP_REFERER']的可靠性及其在不同情况下的有效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

学到PHP的超级全局变量时,遇到了PHP $_SERVER['HTTP_REFERER'],不料在phpstorm中运行的到如下结果:

<?php
$x=5;
$y=10;

function addtion(){
    $GLOBALS["z"]=$GLOBALS["x"]+$GLOBALS["y"];/** $GLOBALS 是PHP的一个超级全局变量组,在一个PHP脚本的全部作用域中都可以访问。
                                                * $GLOBALS 是一个包含了全部变量的全局组合数组。变量的名字就是数组的键。*/
}

addtion();
echo $z."<br>";
var_dump ($z);
echo "<br>";

/**
 * $_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。
 * 不能保证每个服务器都提供全部项目;服务器可能会忽略一些,或者提供一些没有在这里列举出来的项目。
 * 以下实例中展示了如何使用$_SERVER中的元素:
 */
echo $_SERVER["PHP_SELF"]."<br>";
echo $_SERVER["SERVER_NAME"]."<br>";
echo $_SERVER["HTTP_HOST"]."<br>";
echo $_SERVER["HTTP_REFERER"]."<br>";
echo $_SERVER["HTTP_USER_AGENT"]."<br>";
echo $_SERVER["SCRIPT_NAME"]."<br>";

我们知道,它得到的是:引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。),也就是说,用户代理(浏览器)可能更改了它,也可能是当前页没有前一页(这个意思就是说当前页是点击前一页(来源页面)中的链接得来的,我觉得最可能是这个,毕竟我是用phpstorm运行滴,后面我证实了确实是这样,解决方法在最下面的博客链接里)

查阅得知:它无效还可能是以下几种情况。这几种情况源自https://www.cnblogs.com/caicaizi/p/6053890.html

PHP $_SERVER['HTTP_REFERER'] 无效

需要注意的是,$_SERVER['HTTP_REFERER'] 完全来源于浏览器。并不是所有的用户代理(浏览器)都会设置这个变量,而且有的还可以手工修改 HTTP_REFERER。因此,$_SERVER['HTTP_REFERER'] 不总是真实正确的。

通常下面的一些方式,$_SERVER['HTTP_REFERER'] 会无效:

  1. 直接输入网址访问该网页。
  2. Javascript 打开的网址。
  3. Javascript 重定向(window.location)网址。
  4. 使用 meta refresh 重定向的网址。
  5. 使用 PHP header 重定向的网址。
  6. flash 中的链接。
  7. 浏览器未加设置或被用户修改。

所以一般来说,只有通过 <a></a> 超链接以及 POST 或 GET 表单访问的页面,$_SERVER['HTTP_REFERER'] 才有效。

由于 $_SERVER['HTTP_REFERER'] 对 POST 表单访问也是有效的,因此在表单数据处理页面一定程度上可以通过校验 $_SERVER['HTTP_REFERER'] 来防止表单数据的恶意提交。但该方法并不能保证表单数据的绝对正确,即对表单数据的真实性检测并不能完全依赖于 $_SERVER['HTTP_REFERER'] 。

 

注意!!!

这个问题我可能已经解决了,详见我的这篇博客后面突然就想明白了:https://blog.csdn.net/doubleguy/article/details/90166275

(2024最新版)xss-labs-master通关总结(包含源代码审计和前置思路)
weixin_74074789的博客
11-25 1765
这里我也没明白具体该怎么做,所以这里我直接查看源码,可以看到有一个值是通过 str11 来传递的,然后最终在 t_ref 中起效,但是这里的 t_ref 不是直接通过 GET 获取的,而是通过 http_server 传递的,那么思路就清晰了,直接去把 payload 打入 http_server 的字段中就可以打出 xss。也就是说标签 script 标签被过滤,事件被过滤,那我们可以尝试一下其他标签且没有匹配到事件关键字的,好笑的是并没有找到。后续会有其他靶场更新,师傅们可以关注一手哦~!
20210218CTF伪协议绕过file_get_contents(bugkuctf的web21御结冰城感想)
热门推荐
qq_45290991的博客
02-18 1万+
CTF中常用的php伪协议利用 </h1> <div class="clear"></div> <div class="postBody"> file://# 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd ph...
[PHP]如何防止用户从地址栏直接访问后台页面
virus026的专栏
12-02 9420
PHP $_SERVER['HTTP_REFERER'] 使用 $_SERVER['HTTP_REFERER'] 将很容易得到链接到当前页面的前一页面的地址。一个例子如下: index.php(实际地址为:http://www.5idev.com/php/index.php): 链接 test.php(实际地址为:http://www.5idev.com/php/test.p
php $_SERVER['HTTP_REFERER']获取上一个页面的URL地址
ronzone的博客
03-27 1万+
php获取上一个页面的地址可以使用$_SERVER["HTTP_REFERER"]变量,$_SERVERphp中的环境变量,本文章向大家介绍$_SERVER["HTTP_REFERER"]的使用方法和实例,需要的朋友可以参考一下。 php $_SERVER["HTTP_REFERER"]变量可以获取上一个或前一个页面的URL地址。比如有一个a.php页面,这个页面上有一个链接指向b.php页面,
PHP $_SERVER['HTTP_REFERER'] 获取前一页面的 URL 地址
lxw1844912514的博客
07-14 829
转载:http://www.5idev.com/p-php_server_http_referer.shtml 使用 $_SERVER['HTTP_REFERER'] 将很容易得到链接到当前页面的前一页面的地址。一个例子如下: index.php(实际地址为:http://www.5idev.com/php/index.php): 链接 test.php(实际地址为:http...
PHP中的$_SERVER["HTTP_REFERER"]用法
weixin_30872867的博客
10-20 276
大家知道$_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即<A href=...>) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog(...
有时$_SERVER["HTTP_REFERER"]为空的原因
a595364628的博客
11-30 3950
使用tp跳转时有时为空.我们习惯在用户登陆后跳转到登录前的页面,这是我们在login页面的 隐藏域如 gotopage里面保存登陆前的url,使用:$_SERVER["HTTP_REFERER"]获取登陆前的url,但有时确获取不到值。检查发现,我登录前的跳转url使用的是:$this->redirect(U('Member/login'));将其改为:$this->error('请先登陆',U(
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; upstream backend { server 127.0.0.1:8848; } server { listen 8848; server_name localhost; #前端打的dist资源存放目录 root G:\JEECG\JeecgBoot\jeecgboot-vue3\dist; #charset koi8-r; #access_log logs/host.access.log main; location / { #root html; index index.html index.htm; # 用于配合 browserHistory使用 try_files $uri $uri/ /index.html; } location /jeecgboot/ { #后台接口地址(我们部署去掉了/jeecg-boot项目名,如果你有请加上) proxy_pass http://127.0.0.1:8848/; proxy_redirect off; #真实IP获取 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; set $my_proxy_add_x_forwarded_for $proxy_add_x_forwarded_for; if ($proxy_add_x_forwarded_for ~* "127.0.0.1"){ set $my_proxy_add_x_forwarded_for $remote_addr; } proxy_set_header X-Forwarded-For $my_proxy_add_x_forwarded_for; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ \.php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # #location ~ \.php$ { # root html; # fastcgi_pass 127.0.0.1:9000; # fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; # include fastcgi_params; #} # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /\.ht { # deny all; #} } # another virtual host using mix of IP-, name-, and port-based configuration # #server { # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} } 帮我看看哪里有问题nginx起不起来了
最新发布
03-28
2. 路径格式问题:root目录使用反斜杠,在Linux环境下无效。 3. 语法错误:检查是否有遗漏的分号或拼写错误。 接下来需要验证这些可能性。首先检查Nginx错误日志,通常位于logs/error.log,但用户可能没有开启日志...
自己的php网站没有referer,缺少php$_SERVER [‘HTTP_REFERER’]
weixin_28285943的博客
03-18 573
我想在我的网站使用$ _SERVER [‘HTTP_REFERER’],但我得到以下:Notice: Undefined index: HTTP_REFERER我试过打印$ _SERVER。这将输出以下内容:Array([HTTP_HOST] => 192.168.1.10[HTTP_USER_AGENT] => Mozilla/5.0 (X11; Ubuntu; Linux i686...
HTTP_REFERER获取失败
weixin_34413357的博客
06-04 855
ie下,php HTTP_REFERER获取失败的整理HTTP_REFERER有效的情况 1、以iframe形式调用地址 2、以window.open调用,打开新页面window.open(url); 3、使用window.location.replace在Firefox和Chrome下可以获取HTTP_REFERER window.location.replace(ur...
$_SERVER中的HTTP_REFERER参数的用法
qq_36627117的博客
06-10 3628
转自:https://blog.csdn.net/u011250882/article/details/49679535引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改&n...
$_SERVER['HTTP_REFERER'] 获取前一页面的 URL 地址注意事项
...
09-22 9427
直接访问$_SERVER["HTTP_REFERER"]会为空。使用tp跳转时有时为空. 我们习惯在用户登陆后跳转到登录前的页面,这是我们在login页面的隐藏域如 gotopage里面保存登陆前的url,使用:$_SERVER["HTTP_REFERER"]获取登陆前的url,但有时确获取不到值。 最终的解决办法是将当前页面的url存入session或者cookie,登陆成功后判断s
.PHP中的$_SERVER["HTTP_REFERER"]
A_mentha的专栏
10-22 1186
下面是PHP手册中的官方解释: “HTTP_REFERER” 链接到当前页面的前一页面的 URL 地址。不是所有的用户代理(浏览器)都会设置这个变量,而且有的还可以手工修改 HTTP_REFERER。因此,这个变量不总是真实正确的。   总结:只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location
php httpreferer,PHP中的$_SERVER["HTTP_REFERER"]用法浅谈
weixin_39545269的博客
03-10 216
大家知道$_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REF...
PHP中的$_SERVER["HTTP_REFERER"]用法浅谈
听说的专栏
05-10 1万+
大家知道$_SERVER['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REFE
PHP中的$_SERVER[\"HTTP_REFERER\"]用法浅谈
IT技术宅-北方的刀郎
03-21 1576
2010-08-14 15:36:29|  分类: PHP文章 |  标签:it动态   |举报 |字号大中小 订阅 大家知道$_SERVER["HTTP_REFERER"]可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即 post表单提交) 打开的页面才有HTTP_REFERER环境变量, 其它如 wind
php在服务器上 $_SERVER['HTTP_REFERER'] 出现Undefined index: HTTP_REFERER 解决方法
sebarsunny的专栏
10-09 1万+
<br />在文件头部加上“error_reporting(E_ERROR | E_WARNING | E_PARSE);”问题清除。O(∩_∩)O~
php使用referer,PHP中的$_SERVER["HTTP_REFERER"]用法浅谈
weixin_28025327的博客
03-09 885
大家知道$_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REF...
Https 跳转到 http 后,$_SERVER['HTTP_REFERER']获取不到值的解决方案
myarche的博客
09-17 2757
前提,一个主域名页面的链接上面,有 N 个二级域名链接。 但是要在部分二级域名中判断 URL 来路,来防止迅雷等下载工具。 在本地测试一切正常,但在线上就是不行,搜索得知 HTTPS 到 HTTP 默认是获取不到 HTTP_REFERER 这个值的。 恰恰我的主域名为 HTTPS ,二级域名全部为 HTTP。 解决方案如下: 1、Https端解决方案,在 HTTPS 主域名页面添加 me...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小的香辛料

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值