Überprüfen Sie die Referrer in PHP

Question

Ist es möglich, zu überprüfen, die Ihre Website in PHP eintritt. Ich habe eine Web-Anwendung (in PHP geschrieben), die nur erlauben, sollten die Nutzer von einigen bestimmten Websites eingeben. Ist es möglich, die Überweisung Websites zu erhalten, indem das _Request Objekt untersuchen? Wenn ja, wie?

Answer 1

Ja, aber einige Proxies und andere Dinge halten diese Informationen Streifen im Auge, und es kann leicht gefälscht werden. Deshalb sollten Sie nie auf sie verlassen. Zum Beispiel glaube nicht, Ihre Web-App von CSRF sicher ist, weil Sie das überprüfen Referrer Ihren eigenen Server entsprechen.

$referringSite = $_SERVER['HTTP_REFERER']; // is that spelt wrong in PHP ?

Wenn Sie wollen nur Anfragen erlauben, von einer bestimmten Domain benötigen Sie einen Teil der URL zu analysieren, um die Top-Level-Domain zu erhalten. Da ich mehr gelernt habe, kann dies mit PHP parse_url () erfolgen.

Wie Andyk in den Kommentaren weist darauf hin, Sie werden auch für www.example.com und Beispiel zu ermöglichen haben. com.

Answer 2

Während Sie $_SERVER['HTTP_REFERER'] sehen können die verweisende Website zu erhalten, setzen Sie nicht den Hof auf sie. Der Browser setzt diesen Header und es ist leicht gefälscht.

Wenn es wichtig ist, dass nur Personen aus bestimmten Referrer kommen Ihre Seite sehen wollen, diese Methode nicht verwenden. Sie werden eine andere Art und Weise, wie grundlegende auth finden müssen, um Ihre Inhalte zu schützen. Ich sage nicht, dass Sie nicht diese Technik verwenden sollten, nur im Kopf behalten, dass es nicht-narrensicher.

BTW, können Sie auch Referrer blockieren auf der Apache-Ebene mit mod_rewrite .

Answer 3

Sie können nicht die Referrer vertrauen. Trotz des $_SERVER Array kommt, ist es eigentlich ein Benutzer / Browser Wert geliefert und ist leicht gefälscht, solche Dinge wie die Verwendung von Firefox RefControl addon .

Answer 4

Sie müssen die $ _SERVER Array für die 'HTTP_REFERER' Schlüssel zu untersuchen.