服务器可以使用http headers 命令来捕获浏览器签名吗?
Can servers use http headers order to catch a browser signature?
我知道 http headers 顺序对于 Web 服务器处理请求并不重要(或者至少不应该重要)。但是,我想知道服务器(尤其是 reverse-proxies 或 CDN)如何检查 headers 位置以使请求合法。
让我解释一下。当我用 firefox 做一个简单的 http 请求时,这些是我的 headers:
GET / HTTP/1.1
Host: whosebug.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: yummy=yes_they_are
Connection: keep-alive
Cache-Control: max-age=0
与Chrome:
GET / HTTP/1.1
Host: whosebug.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Cookie: yummy=yes_they_are
不完全一样,对吧?然后,如果我将用户代理更改为 Firefox:
GET / HTTP/1.1
Host: whosebug.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:39.0) Gecko/20100101 Firefox/39.0
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Cookie: yummy=yes_they_are
因为 headers 位置不符合 Firefox 的“headers 位置习惯”,服务器可以知道发生了什么可疑的事情(用户可能使用 Chrome 扩展名恶搞 user-agent).
一些 HTTP 服务器真的会检查这类事情吗?至少,他们有可能这样做吗(云端等等)?或者这是我完全不应该打扰的事情?如果需要的话,我在哪里可以找到主要浏览器的详尽 headers 订单列表?
一般来说,order does not (and should not) matter.
但基于this answer,也有例外。因此,要回答这个问题:是的,服务器(如 incapsula)可以使用 http header 命令来捕获浏览器签名。
我知道 http headers 顺序对于 Web 服务器处理请求并不重要(或者至少不应该重要)。但是,我想知道服务器(尤其是 reverse-proxies 或 CDN)如何检查 headers 位置以使请求合法。
让我解释一下。当我用 firefox 做一个简单的 http 请求时,这些是我的 headers:
GET / HTTP/1.1
Host: whosebug.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: yummy=yes_they_are
Connection: keep-alive
Cache-Control: max-age=0
与Chrome:
GET / HTTP/1.1
Host: whosebug.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Cookie: yummy=yes_they_are
不完全一样,对吧?然后,如果我将用户代理更改为 Firefox:
GET / HTTP/1.1
Host: whosebug.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:39.0) Gecko/20100101 Firefox/39.0
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Cookie: yummy=yes_they_are
因为 headers 位置不符合 Firefox 的“headers 位置习惯”,服务器可以知道发生了什么可疑的事情(用户可能使用 Chrome 扩展名恶搞 user-agent).
一些 HTTP 服务器真的会检查这类事情吗?至少,他们有可能这样做吗(云端等等)?或者这是我完全不应该打扰的事情?如果需要的话,我在哪里可以找到主要浏览器的详尽 headers 订单列表?
一般来说,order does not (and should not) matter.
但基于this answer,也有例外。因此,要回答这个问题:是的,服务器(如 incapsula)可以使用 http header 命令来捕获浏览器签名。