1、查询UserAgent一般分三种方式: 1,通过各浏览器自带的UserAgent修改功能查看当前浏览器UserAgent设置情况。如Maxthon(遨游)修改User Agent方法 中就可查看遨游浏览器的UserAgent 2,通过JS事件来查询。
2、通过网络上查找,修改Chrome的Usre Agent有3种方式,但有的方式是不起作用的。
给Chrome添加启动参数(有作用)
通过扩展-User-Agent Switcher(据我测试和网上的反应,不起作用)
用Chrome内置的开发者工具修改(也是不能起作用)
方法一:给Chrome添加--user-agent启动参数。这个是可以起作用的方法。
右键点击Chrome的快捷方式,在“快捷方式”-“目标”输入框,修改成类似于如下:
C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe --user-agent="Mozilla/5.0 (iPhoneUCPU like Mac OS Xen) AppleWebKit/420+ (KHTML, like Gecko) Version/3.0 Mobile/1A537a Safari/419.3"
其实就是在C:\...Application\chrome.exe后添加--user-agent参数。如果要换成其他的参数,修改--user-agent=后面双引号之间的字符串即可。
相信大部分人看不懂--user-agent=后的字符串的意思,我也看不懂,但是有专门的网站来介绍不同浏览器、设备的--user-agent参数,http://www.useragentstring.com,在网站的List of User Agent Strings页面列出了详细的各种平台各种浏览器的User Agent参数,并且有相信的参数说明。
比如我要将Chrome模拟成Blackberry 9000/ OS版本5.0.0.1067 /MIDP版本2.1的黑莓手机,则--user-agent=后面双引号之间的字符串改成如下:
BlackBerry9000/5.0.0.1067 Profile/MIDP-2.1 Configuration/CLDC-1.1 VendorID/302
header editorheader editor正式版是一款相当优秀的chrome浏览器请求管理插件,header editor最新版功能强悍,支持用户进行浏览器请求自动设置cookies,header editor插件便捷好用,还可以修改请求头、修改响应头、重定向请求、取消请求。
header editor软件功能
1、Header Editor:chrome浏览器请求管理插件最新版匹配类型
规则会应用到满足相应匹配条件的URL上
全部:对应所有URL,包括Header Editor自身
正则表达式:支持标准的JS正则表达式。例如你输入的正则表达式是str,那么,实际上,程序内部就会使用new RegExp(str)初始化正则表达式。如果匹配规则是正则表达式,则修改结果(目前包括重定向至)支持使用形似$1的占位符
网址前缀:包括http://在内的网址前缀
域名:包含子域名在内的完整的域名
网址:包括“?”及之后的所有内容的完整地址
2、排除规则
不论是否满足匹配规则,只要满足了排除规则,那么此条均不会对当前URL生效
3、自定义函数
通过自定义函数实现更灵活的功能。
截图
其他特殊功能
使用功能“修改请求头”或“修改响应头”时,将头内容设置为_header_editor_remove_将会移除此头(自3.0.5起有效)
其他注意事项
将头内容设置为空,不同浏览器对此处理方式不同。Chrome将会保留此头信息,但其内容为空。Firefox则会移除此头信息
常见功能示例
下面的例子不保证均有效,只作为示例,用于帮助用户熟悉Header Editor的规则编写。
1、反-防盗链
使用说明:将URL匹配至图片域名,功能为“修改请求头”,将头内容Referer修改为任意可显示图片的网址。下列有一些常用的规则:
前缀为http://imgsrc.baidu.com/,修改Referer为http://tieba.baidu.com
正则表达式为http://(w?.?)hiphotos.baidu.com/,修改Referer为http://tieba.baidu.com
2、重定向请求
例如,将Google公共库重定向至中科大的镜像上:
正则表达式为^http(s?)://(ajax|fonts).googleapis.com/(.*),重定向至https://$2.proxy.ustclug.org/$3
将所有对sale.jd.com、item.jd.com、www.jd.com的HTTP请求重定向到HTTPS:
正则表达式为http://(sale|item|www).jd.com,重定向至https://$1.jd.com
将所有维基百科的HTTP请求重定向至HTTPS:
正则表达式为^http://([^/]+.wikipedia.org/.+),重定向至https://$1
3、伪装UA
修改请求头的User-Agent即可,但功能只能影响服务器判断UA的能力,对于在本地通过JS判断的,无法伪装。
header editor使用方法
1、下载Header Editor的crx文件后,打开Chrome的扩展页面(chrome:// extensions /或按Chrome菜单图标>更多工具>扩展程序查找),然后拖放 crx文件到扩展页面安装它
2、点击“添加拓展程序”完成安装。
3、Header Editor菜单中主要有规则列表、选项以及导出和导入:
截图
4、Header Editor右下角有方便的批量管理、添加
点击批量管理,有全选/全不选、启用、分组、分享和删除功能
截图
5、点击添加按钮,页面如下:
参考文献Post from Microsoft on the X-XSS-Protection Header
Chromium X-XSS-Protection Header Parsing Source
Discussion of report format in WebKit bugzilla
2. X-Content-Type-Options
目的
这个header主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。firefox目前对此还存在争议。通常浏览器可以通过嗅探内容本身的方法来决定它是什么类型,而不是看响应中的content-type值。通过设置 X-Content-Type-Options:如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源。举个例子,如果加载了一个样式表,那么资源的MIME类型只能是text/css,对于IE中的脚本资源,以下的内容类型是有效的:
application/ecmascript
application/javascript
application/x-javascript
text/ecmascript
text/javascript
text/jscript
text/x-javascript
text/vbs
text/vbscript
对于chrome,则支持下面的MIME 类型:
text/javascript
text/ecmascript
application/javascript
application/ecmascript
application/x-javascript
text/javascript1.1
text/javascript1.2
text/javascript1.3
text/jscript
text/live script
正确的设置
nosniff – 这个是唯一正确的设置,必须这样。
通常不正确的设置
‘nosniff’ – 引号是不允许的
: nosniff – 冒号也是错误的
如何检测
在IE和chrome中打开开发者工具,在控制台中观察配置了nosniff和没有配置nosniff的输出有啥区别。
参考文献
Microsoft Post on Reducing MIME type security risks
Chromium Source for parsing nosniff from response
Chromium Source list of JS MIME types
MIME Sniffing Living Standard
3. X-Frame-Options
目的
这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。IE8和firefox 18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM,但是WebKit已经在研究这个了。
正确的设置
DENY – 禁止所有的资源(本地或远程)试图通过frame来加载其他也支持X-Frame-Options 的资源。
SAMEORIGIN – 只允许遵守同源策略的资源(和站点同源)通过frame加载那些受保护的资源。
ALLOW-FROM – 允许指定的资源(必须带上协议http或者https)通过frame来加载受保护的资源。这个配置只在IE和firefox下面有效。其他浏览器则默认允许任何源的资源(在X-Frame-Options没设置的情况下)。
通常不正确的设置
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)