我正在检查 Request.UrlReferrer = null 之外的每个 page_load 方法的 Postback。但是如果它不为空并且仍然有人使用 BurpSuite 更改引用标头值。然后它应该重定向到默认的错误页面。
Request.UrlReferrer = null
page_load
Postback
我应该如何验证这一点?
你不能信任用户输入,请求头(包括referer)是用户输入,客户端可以任意选择。授权决定不应基于此,因为正如您所说,客户可以发送他们想要的任何推荐人。
从您的问题来看,这听起来更像是您需要某种会话来存储客户端状态。
