New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Referrerによるアクセスの可否 #326

Open

KisaragiEffective opened this issue Jan 28, 2024 · 0 comments

Owner

KisaragiEffective commented Jan 28, 2024 •

edited

Loading

Referrer (RFC 9110)の値が存在しないときは400で拒否する
Referrerの値が存在する時:
- UをReferrerの値とする。
- Uがabout:blankであれば400で拒否する (詐称の可能性が高いため)
- Uが妥当なURIでなければ400で拒否する (HTTP Semanticsにそぐわない意味不明な値であるため。検証コストは数秒以下と見積もられる)
- 言明: Uは妥当なURIである。
- Uが相対URIであれば400で拒否する (APIからAPIへHTTP越しでアクセスすることはないため)
- 言明: Uは絶対URIである。
- UのプロトコルがHTTPまたはHTTPSでなければ400で拒否する (HTTP越しにアクセスされるため)
- Uのホスト名が次のいずれかの条件を満たす時、302で警告ページへ飛ばす
  - ワイルドカード、*.hatenablog.com、*.hatenablog.jp、*.hateblo.jp、*.hatenadiary.com、*.hatenadiary.jp、*.2ch.net、*.2ch.sc、*.5ch.netに当てはまる
  - ホスト名をDNSに問い合わせた結果、CNAMEレコードが対象のドメインを指している
- いずれの条件も満たさなかった時、当該リクエストを素通りさせる

The text was updated successfully, but these errors were encountered:

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment