1

$_SERVER['HTTP_REFERER']のオプション/回避策があるか知りたいです。'HTTP_REFERER'は信頼できないためです。次に、リクエストがどのURLから送信されたかを知る他の方法は何ですか?

状況は次のとおりです。http://abc.com/one.htmlにはsrc = http:// xyz.com/giv.php?param=1のiframeがあります。xyz.comのgiv.phpは、リクエストがhttp://abc.com/one.htmlからのものであることをどのように認識しますか?

4

3 に答える 3

4

申し訳ありませんが、他の方法はありません。インターネットへようこそ

于 2010-06-01T08:10:46.783 に答える
3

これはXY問題のようです。

Xが

許可されていないWebサイトが自分のコンテンツをフレーミングし、疑いを持たないユーザーに表示するのを防ぐにはどうすればよいですか?

次に、リファラーは「十分に良い」です。

リファラーを偽造するには、ユーザーが参加する必要があります。許可されていないWebサイトは、ユーザーのブラウザに偽のリファラーを送信するように指示することはできません。

于 2010-06-01T08:16:07.590 に答える
1

本当に信頼が必要な場合は、次のようにします。

  • サーバーとブラウザ間のすべての通信は、HTTPSを介して行う必要があります
  • abc.comは、xyz.comに一意の識別子トークンを要求する必要があります(メッセージに含まれているクライアントIPアドレスを使用している可能性がありますが、一部のクライアントはIPアドレスを循環させることに注意してください)
  • サーバーがトークンを認証できるように、そのトークンをiframeのxyz.com URLに含める必要があります(クエリ文字列など)。

それでも、トークンはユーザーによって漏洩する可能性があります(意図的にまたはシステムにインストールされたマルウェアを介して)。

于 2010-06-01T08:13:11.780 に答える