我在 HTTP_X_REQUESTED_WITH 标头中使用此内容收到对我的 php 网络服务器的请求:
[HTTP_X_REQUESTED_WITH] => com.android.browser
当从 Android 应用程序请求网站时,此变量进入 $_SERVER 全局变量,但我不确定这是否是检测是否有人嵌入我的网站的正确方法。
我不确定该请求是来自任何 Google 内置应用程序还是来自任何未经许可利用我的工作的应用程序。
编辑:这些类型的请求在 2016 年 12 月突然开始。
问候
我不确定该请求是来自任何 Google 内置应用程序还是来自任何未经许可利用我的工作的应用程序。
仅通过查看您真的无法 100% 确定它,它可能是嵌入您网站的应用程序,或者是通过 android 浏览器访问您网站的合法用户。不同的浏览器发送不同的 HTTP 标头(例如您注意到的那个)以及用户代理。
例如,如果您的网站是通过一个WebView
(您可以在可用于模拟您网站的应用程序中使用的“浏览器”组件)请求的,您应该获得这种用户代理:
Mozilla/5.0 (Linux; Android 5.1.1; Nexus 5 Build/LMY48B; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/43.0.2357.65 Mobile Safari/537.36
这里的关键是wv,表示请求来自 a WebView
(查看https://developer.chrome.com/multidevice/user-agent)
同样,Google Spiders(以及其他数千种)添加了其他标头/用户代理。
然而,所有这些东西都很容易伪造,所以(恕我直言)归根结底,在复杂的启发式方法上花费太多时间和资源并没有真正的回报,这些启发式方法最多只会禁止最新手的模仿者。
我建议你稍微监控一下这些请求,如果在某个时候你怀疑它们是不合法的,只需在服务器配置文件中禁止它们。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句