Можно ли подделать Origin и Refer заголовки?

Question

[pavelkunyavskiy]

Возможно ли это?

Например, из специализированного софта вроде Postman.

Вот, к примеру, я сделал проверку на стороне NodeJS сервера

if (!req.headers.origin || !req.headers.referer) {
    res.cookie('message', 'fuck you, hacker', {maxAge: 600000, httpOnly: true})
    res.send('fuck you, hacker')
    console.log('fuck you, hacker')
  }

Но имеет ли это смысл, если заголовок можно подделать?

Answer 1

[InoMono]

Конечно можно подделать любые заголовки в веб-клиенте.
Но зачем?

Comments

[pavelkunyavskiy]

Для того чтобы обращаться к моему API напрямую. В коде выше я сделал проверку на соответствие Origin и Refer определенному домену. Т.е. я использую свое API на моих других доменах и не хочу чтобы API было доступно по URL.

Вы говорите это возможно. Как?

[InoMono]

pavelkunyavskiy, ну для начала - Яндекс не ставит Refer уже года 2-3.

Ограничение использования:
Запретить в robots.txt
Сделать авторизацию.

[pavelkunyavskiy]

InoMono, что значит

Яндекс не ставит Refer

Вы вообще о чем? Этот заголовок ставит КЛИЕНТ. При чем тут яндекс?
И при чем тут robots.txt? При чем тут краулеры?

Вы похоже вообще вопрос не поняли, для начала.

[pavelkunyavskiy]

И я вопрос задал конкретный. КАК ПОДДЕЛАТЬ? Вы говорите "конечно" можно. Как, пример, как мне это сделать воочию убедится у себя на машине? А потом про Яндекс и роботс, мда...

Иногда такого насоветуют, что за гллову хватаешся - ЗАЧЕМ???

[InoMono]

pavelkunyavskiy,

Вы вообще о чем? Этот заголовок ставит КЛИЕНТ. При чем тут яндекс?

при переходе с Яндекса по найденому любой браузер тот же КЛИЕНТ.

[pavelkunyavskiy]

InoMono, вы о редиректах? О них я не подумал. Их я еще не пробовал. Ппц тяжкая тема. Надо все щупать ручками пока поймешь.

Возникает вопрос - так какого же хера для защиты от CSRF советуют проверять Origin и Referer если это не работает???

[InoMono]

pavelkunyavskiy, читайте более свежие рекомендации