0

私は Js ウィジェットを実装しています。ソース コード付きのウィジェットは domain1.com にあります。ウィジェット (ビューアー) のホストは domain2.com にあります。

domain1.com では、サーバー スクリプト言語として PHP を使用しています。

必要なのは、ウィジェット ホスティング ドメインが、ウィジェット サービスを提供する domain1.com から応答を取得できるかどうかを確認することです。

私はこのようなことを実行することを考えていました:

domain2.com:

<html>
    <head></head>
    <body>
        <div id="widget-container"></div>        
    </body>
    <script src="http://domain1.com/widget/viewer.php" type="text/javascript"></script>
</html>

domain1.com:

<?php 
    if(in_array($_SERVER['HTTP_REFERER'], $allowedDomains)){
       /* echo all widget goodness*/
    }else{
        die('you\'ve not permission to get this service');
    }
?>

$_SERVER['HTTP_REFERER']変数をチェックして、ホスト ドメインにウィジェットへのアクセスを許可することは信頼できますか?

4

1 に答える 1

0

いいえ、安全ではありません。リファラーは自由に改ざんできます。

リファラー制御を参照

実際、要求の内容はすべて偽造できます。

ウィジェットを保護するには、https+sessions など、別のものを探す必要があります。

于 2012-09-04T00:28:21.700 に答える