のような社内サイトがありますtools.mycompany.com。現在、ローカル ネットワーク内からのみアクセスできます。ユーザーがこのページにアクセスする方法は、次のような私の会社の共有ポイント イントラネットにアクセスすることですintranet.mycompany.com。ページへのリンクtoolsがそこにあり、ユーザーはクリックできます。イントラネット サイトは「外部」ネットワークからアクセスできますが、AD 資格情報を提供する必要があります。
新しい目標は、「外部」ユーザーがtools.mycompany.comページにアクセスできるようにすることです。ただし、 を介してのみアクセスできるintranet.mycompany.comため、AD によって認証されています。
私の最初の考えは、を評価し$_SERVER['HTTP_REFERER']、次のようなことをすることです:
($_SERVER['HTTP_REFERER'] != 'intranet.mycompany.com') ? die('Didn't come from Intranet') : '';
しかし、に依存すること$_SERVER['HTTP_REFERER']は信頼できないようです。
tools.mycompany.comページを不正アクセスから保護する他のオプションはありますか? 認証されたユーザーが資格情報を再入力する必要はありませんか?