¿HTTP_REFERER? No, gracias
Algunos de los bugs más viejos siguen apareciendo recurrentemente en servidores web y, lo que es más grave, en servidores de comercio electrónico, con lo que se ve amenazada tanto la seguridad del comerciante como la de sus clientes.
Es un error común utilizar la cabecera REFERER para obtener la dirección de la página desde la que se hace una petición al servidor web y en función de esta información garantizar o no el acceso. Por ejemplo, ante la posibilidad de que alguien modifique un formulario maliciosamente para ejecutarlo luego desde su propio disco duro, se piensa a menudo en esta cabecera para comprobar que la petición provenga de la página donde está el formulario auténtico, y no desde otra localización. Sin embargo, la facilidad de modificar el contenido de esta cabecera, hace que este recurso sea totalmente inútil. Por eso, NUNCA se debería basar una operación crítica (aceptación de los datos de un formulario, acceso a un servicio, etc.) en el contenido de esta cabecera.
Se puede encontrar una descripción práctica con ejemplos de cómo manipular los contenidos de la cabecera en Ataque a través de HTTP_REFERER.
Debe quedarle bien claro: jamás confíe en HTTP_REFERER para denegar o garantizar una operación. No le conceda nunca más valor que el meramente orientativo.
| Participa con tus consejos y trucos |
¿Tienes algún consejo o truco que te gustaría compartir con otros usuarios? Envíamelo y aparecerá publicado con tu nombre.
Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.