Nguồn gốc yêu cầu POST

Question

Có cách nào để tôi có thể biết chính xác máy chủ nào có yêu cầu POST không?

Tôi đang cố gắng để thực hiện một phương pháp trong đó tôi có thể kiểm tra xem yêu cầu cụ thể đã có nguồn gốc từ trang web của tôi, và do đó điều này sẽ giúp tôi giữ cho trang web của tôi an toàn

Cảm ơn

Answer 1

Có vẻ như bạn đang cố gắng để thực hiện trang web chéo bảo vệ Yêu cầu giả mạo, trong đó bạn cần đảm bảo yêu cầu bắt nguồn từ HTML được phân phối từ máy chủ web của bạn. Không dựa vào tiêu đề của người giới thiệu vì nó thường bị tước trong tường lửa và có thể được điều khiển.

Xem OWASP để biết một số nguồn tốt về cách triển khai loại bảo vệ này. Về cơ bản nó đi như thế này:

1. Tạo một giá trị ngẫu nhiên an toàn và dính vào nó trên phiên của người dùng

2. Đối với mỗi hình thức HTML, bao gồm giá trị này như một giá trị ẩn()

3. Bất cứ khi nào yêu cầu POST quay lại máy chủ của bạn, hãy kiểm tra xem giá trị từ trường ẩn có giống với giá trị trong phiên của người dùng hay không. Từ chối yêu cầu nếu không.

Vì màu sắc là duy nhất cho mỗi người dùng, kẻ tấn công không thể đơn giản giả mạo biểu mẫu với giá trị được điều chỉnh trước và lừa người dùng tự động đăng nó với javascript. Yêu cầu sẽ bị từ chối vì kẻ tấn công sẽ không biết giá trị nào cần đưa vào trường ẩn trong biểu mẫu giả mạo của anh ta.

Answer 2

Bạn muốn $_SERVER["REMOTE_ADDR"].

Answer 3

Tôi nghĩ rằng bạn cần phải đọc này:

http://www.cyberciti.biz/faq/how-to-determine-retrieve-visitors-ip-address-use-php-code-programming/

Answer 4

Hãy xem này:
http://en.wikipedia.org/wiki/Cross-site_request_forgery#Prevention