- 伪造referer的方法都是通过服务器端的脚本来实现的,但它们并不能欺骗客户端。而JS是在客户端执行的,它并不会理会服务器端的headers信息,所以,利用js的 document.referer 方法可以准确地判断网页的真实来路。
复制代码
貌似REFERER伪造来路已经失效了,那么php如何再伪造来路?我猜想对方可能改变了对来路的判断(很短时间内判断非及时),猜测可能用的是js之类。。。
西藏网友:你强任你强,我用selenium
山西网友:除非你不让正常用户访问
四川网友:
一段代码
- $capabilities = DesiredCapabilities::chrome();
- $options = new ChromeOptions();
- $host = ‘http://192.168.0.51:4444/wd/hub’;
- $options->addArguments([
- "–headless", //无头模式
- "–disable-infobars",
- ‘–disable-gpu’,
- ‘-lang=zh-CN,zh;q=0.9’,
- ‘–disable-popup-blocking’,
- "–no-sandbox"
- ]);
- $ua = ‘Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Mobile/14D27 baiduboxapp/0_01.5.2.8_enohpi_4331_057/1.2.01_2C2%257enohPi/1099a/27AEA876A056B4CE450593557CD8082AE100D686CORGMODTPQI/1’;
- //禁用外部链接协议打开
- $options->setExperimentalOption(‘prefs’, [‘protocol_handler’ => [‘excluded_schemes’ => [‘pinduoduo’ => false]]]);
- $options->setExperimentalOption(‘mobileEmulation’, [‘deviceMetrics’ => [‘width’ => 360, ‘height’ => 740, ‘pixelRatio’ => 2,], ‘userAgent’ => urldecode($ua)]);
- //设置代理
- $options->addArguments(["–proxy-server=127.0.0.1:6666"]);
- //隐藏webdriver标识
- $options->setExperimentalOption(‘excludeSwitches’, [‘enable-automation’]);
- $capabilities->setCapability(ChromeOptions::CAPABILITY, $options);
- $driver = RemoteWebDriver::create($host, $capabilities, 5000);
- //只有打开一个网页才能设置cookie
- $driver->get(‘https://tool.lu/useragent’);
- sleep(2);
- //设置cookie
- $cookies = json_decode(”, true);
- foreach ($cookies as $key => $cookie) {
- $driver->manage()->addCookie(Cookie::createFromArray([
- ‘name’ => $cookie[‘name’],
- ‘value’ => $cookie[‘value’],
- ‘path’ => $cookie[‘path’],
- ‘domain’ => $cookie[‘domain’],
- ‘expiry’ => $cookie[‘expiry’],
- ‘secure’ => $cookie[‘secure’],
- ]));
- }
- sleep(2);
- //打开网页
- $driver->get(‘https://mobile.yangkeduo.com/goods.html?goods_id=37131389267’);
复制代码
福建网友:赞哦!!
湖北网友:怎么用?
吉林网友:插个眼
西藏网友:不明觉厉,摩拜啦
澳门网友:伪造referer主要是为了盗链吧?
吉林网友:伪造referer主要是为了盗链吧?
西藏网友:我要伪造来路,简单说就是盗链(盗内容),以前可以简单伪造就行,现在可能对方升级或者改了,就是我说的JS之类的对抗导致现在没法伪造来路获取内容了。。。
云南网友:没看懂要说什么,加了Referer白名单正常情况下就别想着盗链了。非浏览器的话直接伪造就行了,哪来那么多问题。
未经允许不得转载:美国VPS_搬瓦工CN2 GIA VPS » js对抗referer来路伪造-如何伪造来路