Почему нельзя делать Loacation на HTTP_REFERER?

1. Валерий (23.10.2009 / 16:39)
В одной статье прочитал это:
HTTP_REFERER записываем, чтобы потом посмотреть. Но ни в коем случае не делаем на него Location.
Там не написано почему нельзя.. кто нибудь знает?

2. ктулху (23.10.2009 / 16:42)
Потому что HTTP заголовки служат только для информации. им нельзя доверять ибо их легко подменить (Как собственно и любым другим данным приходящим от юзера)

3. Валерий (23.10.2009 / 16:47)
Ну это понятно.. а какая в данном случае скрыта опасность? Ну подменит юзер заголовок, и перейдёт по этой ссылке.. Мне то что?

4. Tony V (23.10.2009 / 17:23)
Некоторые браузеры вообще не передают реферер. Оно тебе надо?

5. Валерий (23.10.2009 / 17:37)
я проверяю.. если нет реферера, перемещаю по своей ссылке.
Реферер удобен для кнопки НАЗАД. Насколько я понял никакой опасности тут нет.. просто чьи то рекомендации

6. Удаленный (25.10.2009 / 22:00)
Никакой опасности нет.

7. Удаленный (25.10.2009 / 22:02)
Просто можна передать пустой. Вот и вся опасность

8. Удаленный (25.10.2009 / 22:12)
В прынципе еще возможность если на сильном сервере поставить.

<?
if(!empty($_POST['sulq']))
{echo'<a href="?">go</a>';}
else
header ('Location: http://.../index.php');

намного проще выносить.

9. Mechanix (26.10.2009 / 01:00)
Существуют скрипты прокси, с помощью которых можно записать любой реферер. Даже из директории сайта, где стоит location, упомянутый выше.

10. Mechanix (26.10.2009 / 01:04)
Написать туда можно и любое слово.

11. Удаленный (28.10.2009 / 13:30)
если иапишет туда штоугодио ето тоже самое што он напишет в адрес url куда переходить. а вот дос атаками можа вынести очень быстро!

12. Studentsov (28.10.2009 / 14:28)
Написали так чтобы не плодить быдлокодеров

URL: https://visavi.net/topics/2010