เดอะ เจ้าภาพ
ส่วนหัวเป็นส่วนหนึ่งของคำขอ HTTP ที่ระบุโฮสต์เสมือนบนเว็บเซิร์ฟเวอร์ที่ร้องขอ
ไม่มีส่วนเกี่ยวข้องกับแหล่งที่มาของคำขอ ทุกคนสามารถสร้างคำขอ HTTP / HTTPS ไปยังเว็บเซิร์ฟเวอร์ของคุณและระบุ กูเกิล.คอม
ใน เจ้าภาพ
หัวข้อ. จากนั้นขึ้นอยู่กับเว็บเซิร์ฟเวอร์ของคุณที่จะตัดสินใจว่าต้องการทำอะไรกับคำขอ
เบราว์เซอร์มักจะเพิ่ม HTTP ผู้อ้างอิง
ส่วนหัวของคำขอ ซึ่งระบุว่าหน้าต้นทางที่ให้ URL สำหรับคำขอนี้คืออะไร อย่างไรก็ตาม, ผู้อ้างอิง
ฟิลด์นี้เป็นอินพุตของผู้ใช้ที่ไม่น่าเชื่อถือและสามารถปลอมแปลงได้ง่าย
ตัวอย่าง:
ผู้ใช้กำลังเยี่ยมชม http://www.example.com/example
เว็บไซต์ซึ่งมีไฮเปอร์ลิงก์ไปยัง http://www.example.org
. ผู้ใช้คลิกที่ลิงค์ เบราว์เซอร์ของผู้ใช้ส่งคำขอไปยังที่อยู่ IP ของ www.example.org
โดยมีส่วนหัว HTTP ต่อไปนี้:
โฮสต์: www.example.org
ผู้อ้างอิง: http://www.example.com/example
เมื่อเร็ว ๆ นี้เบราว์เซอร์ได้เริ่มตัดออก ผู้อ้างอิง
เนื้อหาส่วนหัวเพื่อให้มีเฉพาะ URL รูท: http://www.example.com
เมื่อมีการร้องขอข้ามโดเมน
โดยรวมแล้ว คุณไม่สามารถเชื่อถือส่วนหัวคำขอ HTTP ใด ๆ เพื่อให้มีข้อมูลตรงตามที่คุณคาดไว้ เนื่องจากเป็นอินพุตที่ไม่น่าเชื่อถือของผู้ใช้