ASP下的伪造来源的代码如下：
<%dim http
set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以
Http.open "GET",url,false
Http.setRequestHeader "Referer","http://blmo.cn/"
Http.send() %>

如果你的网站仅仅是判断HTTP_REFERER，并不是安全的，别人一样可以构造这样的来源，简单的防御方法就是验证页里加上验证码；还可以结合IP判断的方法。...