Ответы:
Это доступно в заголовке HTTPreferer
. Вы можете получить его в сервлете следующим образом:
String referrer = request.getHeader("referer"); // Yes, with the legendary misspelling.
Однако вам необходимо осознать, что это контролируемое клиентом значение, и поэтому оно может быть подделано к чему-то совершенно другому или даже удалено. Таким образом, какое бы значение оно не возвращало, вы не должны использовать его для каких-либо критических бизнес-процессов в бэкэнде, а только для управления представлением (например, скрытие / отображение / изменение определенных частей чистого макета) и / или статистики.
Для заинтересованных, справочную информацию об опечатках можно найти в Википедии .
null
.
На самом деле это:
request.getHeader("Referer")
или даже лучше, и, чтобы быть на 100% уверенным
request.getHeader(HttpHeaders.REFERER)
, где HttpHeaderscom.google.common.net.HttpHeaders
getHeader(String name)
(цитата):"The header name is case insensitive."
org.apache.http.HttpHeaders
Как все уже упоминали, это
request.getHeader("referer");
Я хотел бы добавить некоторые подробности о аспекте безопасности заголовка реферера в отличие от принятого ответа. В шпаргалках Открытого проекта безопасности веб-приложений ( OWASP ), в разделе Шпаргалка предотвращения межсайтовых запросов (CSRF), упоминается важность заголовка реферера .
Что еще более важно для этой рекомендованной проверки Same Origin, количество заголовков HTTP-запросов не может быть установлено JavaScript, поскольку они находятся в списке «запрещенных» заголовков. Только сами браузеры могут устанавливать значения для этих заголовков, делая их более надежными, потому что даже уязвимость XSS не может быть использована для их изменения.
Рекомендуемая здесь проверка Source Source основана на трех из этих защищенных заголовков: Origin, Referer и Host, что делает его довольно сильной защитой от CSRF.
Вы можете сослаться на список запрещенных заголовков здесь . Пользовательский агент (т.е. браузер) имеет полный контроль над этими заголовками, а не пользователь.