私は電子メール認証ページを持っていますが、それが電子メール経由でアクセスされたものであり、それが私の電子メールであり、誰かが URL の仕組みを持っていたり、推測したり、理解したりして、いたずらを引き起こしているわけではないことを確認したいと考えています。
を調べていHTTP_REFERERたのですが、簡単になりすましができるのであまり安全な確認方法ではないと聞きました。
電子メールの確認以外にこれを使用したい他の用途がありますが、より安全で信頼できる方法が必要でした。訪問者がどこから来ているかを確認するより良い方法はありますか?
NONCE が役に立ちます。最初のページでクライアントに NONCE を発行すると、クライアントは発行された NONCE を応答に含める必要があります。
たとえば、WordPress はこのアプローチを使用します。
nonce = 1 回使用される数。ウィキペディアの記事を参照
PHP 固有の実装については、PHP マニュアルを参照してください
HTTP ヘッダーは信頼できません。偽造される可能性があります。
リファラー ヘッダーを受け取ることは期待できません。 の Web サイトはHTTPS://その情報を転送しません。そうすることはセキュリティの期待に反することになり、いいえ、強制することはできません。
Sepsterが投稿したように、ナンスを使用できます。PHP の oAuth 以外のものを使用したい場合は、/dev/urandom などのソースから暗号的に安全な疑似乱数を 24 ビット以上連結したメールのハッシュ値を作成できます。POSIX オペレーティング システムで /dev/urandom にアクセスできない場合は、安全なソフトウェアを作成しようとしてはいけません。暗号的に安全な PRNG を使用しない安全なソフトウェアは、安全なソフトウェアではありません。
そのハッシュをテーブルに保存し、独自のコードをロールして、ノンスで試行された登録に対処できます。