Tôi có một tập lệnh PHP để kiểm tra HTTP Referer.
if ($_SERVER['HTTP_REFERER'] == 'http://www.example.com/') {...}
Tuy nhiên, điều này dường như inherintly không an toàn ... vì những gì xảy ra nếu người dùng đi vào 'http://example.com/' hoặc 'http://www.ExaMple.com' (cả hai đều không phù hợp với kiểm tra bình đẳng).
Câu hỏi: kiểm tra bình đẳng tốt hơn để đảm bảo rằng HTTP Referer đến từ 'example.com' là gì?
Trả lời bắt buộc: HTTP_REFERER có thể bị giả mạo vì vậy không có cách nào đảm bảo 100% mọi người đến từ một trang web cụ thể.
Tuy nhiên, nếu bạn muốn dựa vào nó, bạn có thể sử dụng regex để tìm "example.com" trong HTTP_REFERER. stristr() cũng sẽ hoạt động, và có thể sẽ được khuyến khích vì nó sẽ nhanh hơn sau đó là một regex. Nó cũng là trường hợp nhạy cảm vì vậy nó sẽ phù hợp với "ExaMple.com" cũng như 'example.com".
Hy vọng bạn không kiểm tra xem nó cho bất cứ điều gì đáng kể.
bạn có thể sử dụng parse_url() chức năng để có được hostname phần và để kiểm tra xem HTTP_REFERER chứa thực sự là một url www.
bạn cũng có thể chỉ substr. từ hostname.
trường hợp nhân vật không phải là quan trọng vì nó luôn thường
hoặc sử dụng một regexp.
if (strtolower($_SERVER['HTTP_REFERER']) == 'http://www.example.com/') {...}
Làm thế nào về ...
$parts = explode('/',$_SERVER['HTTP_REFERER']);
if (in_array('example.com',$parts) || in_array('www.example.com',$parts)) {...}
Không chắc chắn điều này sẽ làm việc tất cả các thời gian vì đó giả định 1) một dấu gạch chéo, 2) rằng "www." có mặt thay vì người dùng truy cập trực tiếp vào http://example.com – Hank
URL phải luôn được chuẩn hóa, tức là tên miền phụ chuyển hướng đến tên miền phụ (khi nhiều tên miền được sử dụng). http://en.wikipedia.org/wiki/Canonicalization – jholster
@Hank - Kiểm tra lại câu trả lời của tôi ... –
parse_url() kết hợp với một chút chuỗi tung hứng nên làm những gì bạn muốn. Hãy thử điều này:
$url = parse_url($_SERVER['HTTP_REFERER']);
//take the last two 'dot segments' of the host
$hostOnly = implode('.',array_slice(explode('.',$url['host']),-2));
if (strtolower($hostOnly) == 'example.com') {
//stuff
}
Lưu ý rằng parse_url() có thể bị lỗi trên URL được tạo thành sai, vì vậy bạn có thể muốn thêm một số lỗi kiểm tra để an toàn. HTTP_REFERER có thể dễ dàng được lấp đầy với rác.
Sử dụng một regex, điều này sẽ trở thành
if(preg_match("%(http://)?(www\.)?example\.com(/)?%i",$_SERVER['HTTP_REFERER'])) { ... }
Bạn đang sử dụng nó cho quốc phòng? Làm thế nào nó có thể giúp đỡ? –
Nó chỉ là một dòng đầu tiên của quốc phòng (đặc biệt là cho tôi biết người giới thiệu có thể được giả mạo). Nó không bảo vệ bất cứ điều gì an toàn nhưng đồng thời, tôi không muốn mọi người lạm dụng dịch vụ web của tôi bằng cách gọi trực tiếp. Nó có nghĩa là để giữ cho người bán trung thực. – Hank
Người dùng có thể kiểm soát http_referer bằng cách sử dụng dữ liệu giả mạo. Tuy nhiên, người giới thiệu không thể "giả mạo" được sử dụng trong một cuộc tấn công CSRF. – rook