Fehlt der User-Agent im HTTP-request gültig?

Wir haben festgestellt, dass wir von Zeit zu Zeit erhalten Sie eine HTTP-Anforderung, ohne dass ein Gültiger Benutzer-Agent-Zeichenfolge. Gibt es eine gültige real-world case für die Annahme dieser Art von HTTP-request?

also Warum würden wir nicht automatisch blockieren alle IP ' s von denen diese Art der Anfrage eingegangen ist?

UPDATE
Meine Absicht mit dem Satz "real-world" - war es, zu zeigen, daß ich nicht zu Fragen, was technisch kann oder nicht geschehen kann. Offensichtlich ist es möglich, um HTTP-Anforderungen zu senden, ohne einige Header. Ich Frage mich, was "real-world" - Fall müssten Sie für die Möglichkeit dieser Art der HTTP-Anfrage in deinen server.

InformationsquelleAutor Jacob | 2014-06-17
  1. 10

    Ich denke, viele Menschen verwenden Sie HTTP-Anfragen ohne User-Agent-vor allem, wenn Sie verwenden eine API, um die Anforderung durchzuführen.

    • Einige bots (z.B. für weniger-als-mainstream-Suchmaschinen) möglicherweise nicht den Benutzer-agent-string, zum Beispiel. Ob Sie wollen, Sie zu akzeptieren oder nicht, ist völlig bis zu Ihnen. Normale user-Anfragen werden fast immer über eine gültige User-Agent (obwohl ich schon Leute gesehen, die z.B. hack Ihre iPod-user-agent, um so etwas wie Joe's iPod) und Sie könnte auch leer es aus.
    • Die User-Agent header ist optional in RFC 2616. Es SOLLTE werden von clients verwendet, aber es ist nicht ERFORDERLICH verwendet werden. Alle großen third-party-Browser/clients verwenden, aber benutzerdefinierte Anwendungen/APIs/bots/etc möglicherweise nicht. Es gibt Webserver, die alter Antworten, oder sogar Aufträge ablehnen (was ärgerlich ist), basierend auf der User-Agent zur Verfügung gestellt (oder deren fehlen).
    • Also einen "realen Welt" der Fall sein könnte, wenn Sie die Bereitstellung einer API, und Sie können nicht wollen, zu verlangen, dass der API-Benutzer einen User-Agent-string.
    • Ja, die Entwickler schaffen es nur selten in der User-Agent ein Pflichtfeld in der HTTP-Anforderung während der Entwicklung einer API (es sei denn, Sie haben einen speziellen Anwendungsfall).
    InformationsquelleAutor Alwin
  2. 14

    Wie gesagt in RFC 7231 (aber fast den gleichen Absatz finden in RFC2616):

    5.5.3 User-Agent

    Den "User-Agent" - header-Feld enthält Informationen über den Benutzer-agent-Ursprung der Anfrage
    die von vielen Servern verwendet, Sie zu identifizieren, den Umfang der gemeldeten Interoperabilität Probleme,
    zu umgehen oder maßgeschneiderte Antworten zu vermeiden, insbesondere die Benutzer-agent-Beschränkungen, und für analytics
    in Bezug auf browser oder Betriebssystem verwenden. Ein user-agent schicken SOLLTE, einen User-Agent-Feld in jedem
    verlangen, sofern nicht speziell konfiguriert, dies nicht zu tun.

    Das Schlüsselwort hier ist SOLLTE. Und ja, es gibt ein RFC, der definiert, was das Wort bedeuten soll, RFC 2119:

    1. SOLLTE Dieses Wort oder das Adjektiv "EMPFOHLEN" bedeutet, dass es
      möglicherweise existieren triftige Gründe insbesondere Umstände zu ignorieren
      bestimmten Punkt, aber die vollen Auswirkungen verstanden werden muss und
      sorgfältig abgewogen, bevor die Auswahl einer anderen natürlich.

    So, obwohl die Agenten, die nicht senden, User-Agent nicht Folgen, was kann als best practice gilt, Sie nicht gegen irgendeine Regel (rfc). Also, meiner Meinung nach, es ist nicht wirklich ein Gültiger technische Grund, Sie zu blockieren.

    • Leider gibt es einige Webserver, der Ablehnung des Antrags, wenn die User-Agent ist unbekannt/unerkannt, die lästig sein kann. Dann haben Sie, um eine benutzerdefinierte User-Agent nachahmt, ein bekannter Wert, den der webserver akzeptieren.
    • Also Ihre "realen Welt" der Fall, wo möchten Sie vielleicht zu akzeptieren/Vertrauen HTTP-Anfragen ohne UserAgent-header ist ", möchten Sie vielleicht, um zu ermöglichen, zu verdecken, einen bot zu verwenden, Ihre web-site".
    • Danke für den Hinweis auf RFC7231, schönes Stück Arbeit - ich hoffe du verzeihst mir, dass ich nicht wieder einen link zu RFC2616, wie es heute die eine, ist die norm.
    • fvu: RFC 2616 ist veraltet. Es gibt wirklich keinen Sinn, auf Sie verweisen nicht mehr, außer zu historischen Zwecken.
    • Lassen Sie mich das verallgemeinern, dass, wie diese: als de-facto-Sperrung diese Anforderungen würde gegen Postel ' s law Sie sollten akzeptieren, es sei denn, man erkennt eine starke Korrelation zwischen der Art der Tätigkeit oder Besucher, die Sie nicht möchten, dass auf Ihrem server.
    InformationsquelleAutor fvu
Schreibe einen Kommentar