为 XMLHttpRequest 设置引用者？

Question

我通过以下方式成功发送了XMLHttpRequest：

var createCORSRequest = function(method, url) {
  var xhr = new XMLHttpRequest();
  if ("withCredentials" in xhr) {
    // Most browsers.
    xhr.open(method, url, true);
  } else if (typeof XDomainRequest != "undefined") {
    // IE8 & IE9
    xhr = new XDomainRequest();
    xhr.open(method, url);
  } else {
    // CORS not supported.
    xhr = null;
  }
  return xhr;
};

var url = 'http://www.whatismyip.com';
var method = 'GET';
var xhr = createCORSRequest(method, url);

xhr.onload = function() {
  // Success code goes here.
};

xhr.onerror = function() {
  // Error code goes here.
};


xhr.setRequestHeader('referer', 'http://www.google.com');
xhr.send();

但是，我无法定义我的referer。添加自定义referer的正确方法是什么？

Answer 1

你不能。 XMLHttpRequest specification forbids 更改了 referer 标头（这可以阻止位于其中的网站绕过某些网站使用引用的安全检查）。

如果标头与以下标头之一不区分大小写，则终止这些步骤：

• …
• 参考
• …

Answer 2

你可以试试这样的：

xhr.setRequestHeader('X-Referer', window.location.href);

然后阅读这个自定义的 X-Referer 标头。

Answer 3

在https://www.trustedsec.com/blog/setting-the-referer-header-using-javascript/找到答案

您可以使用window.history.replaceState(null, '', 'https://yourwebsite.com/forged/referer')进行设置

据我所知，它只适用于同一个域，但您可以通过这种方式伪造路径。

见https://developer.mozilla.org/en-US/docs/Web/API/History/replaceState