問題タブ [http-referer]

HttpServer は制御できますが、そこにある ApplicationServer や Java アプリケーションは制御できませんが、これらのアプリケーションの特定のページへの直接アクセスをブロックする必要があります。正確には、適切なサーブレットに対して直接 GET/POST HTTP 要求を発行するフォームへのアクセスをユーザーに自動化してほしくありません。

そこで、 の値に基づいてユーザーをブロックすることにしましたHTTP_REFERER。結局のところ、ユーザーがサイト内を移動している場合、適切なHTTP_REFERER. まあ、それは私が思ったことでした。

.htaccess ファイルに次のような書き換えルールを実装しました。

サイトをナビゲートしていないが、クエリ文字列を使用して「servlet1」または「servlet2」サーブレットに直接 GET 要求を発行するユーザーへのアクセスを禁止することを期待していました。しかし、正規表現(servlet1|servlet2)/.+\?.+がまったく機能しなかったため、私の期待は突然終わりました。

その表現を に変更したときは本当にがっかりし(servlet1|servlet2)/.+ました。サイトをナビゲートするかどうかに関係なく、ユーザーがブロックされるほどうまく機能しました。

それで、私の質問は次のとおりです。アプリケーションを変更するアクセス/権限/時間がない場合、特定のページへの直接アクセスを持つ「ロボット」を許可しないということをどのように達成できますか?

現在のページを (AJAX 経由で) 送信または呼び出したページを特定するための最も信頼性が高く安全な方法は何ですか。$_SERVER['HTTP_REFERER']信頼性が (ない) ため、.

編集:一連のアクションを実行するスクリプトが自分の Web サイトのページから呼び出されていることを確認したいと考えています。

サーバー ログの HttpReferer 文字列を解釈しようとしています。空の値がかなり多いようです。

これらの空の値のうち、ブラウザに URL を直接入力した人による直接ヒットによるものと、Referer の送信を妨げるある種のブロッキング ユーティリティによるものの数がどれくらいあるのか疑問に思っています。

参照をブロックする可能性のあるツール、ブラウザー、または「アノニマイザー」を使用している人が何人いるのか、私にはまったくわかりません。入力はありますか？

そのため、IE (少なくとも 6) は、私$_SERVER["HTTP_REFERER"]が PHP で要求したことには役に立ちません。

しかし、私は JavaScript を初めて使用し、ポップアップで小さなルーチンを使用して、ポップアップが呼び出されたページ (つまり、親)を更新しました。Firefox、Safari などで美しく動作します。

セキュリティ上の問題はありません。ウィンドウにロードされたユーザーに、(編集用の) ポップアップが呼び出されたページの URL を表示したいと思います。(ポップアップの URL ではありません)。

ポップアップにリンクするとき、GET で URLを送信する必要がありますか?

フォームに記入した後、「ありがとう」ページに移動すると、次のようなページに移動するように設定しました。

私が欲しいのはそれが言うことです：

これを行う簡単な方法はありますか？

Web サイトを開発していますが、ユーザー入力またはその他の理由により、いくつかのエラー メッセージを表示する必要があります。このために、error.phpという名前のページがあり、$_GET を使用してエラー番号を取得します。すべてのエラー メッセージは配列に格納されます。

例：

しかし、ユーザーが URL にエラー コードを入力して、他のすべてのエラー メッセージを表示することは望ましくありません。それを防ぐために、リファラー ページをホワイトリストに登録し、ホワイトリストにリファラーが見つかった場合にのみエラー メッセージを表示できると考えました。

これにかなり似ているはずです（まだテストしていません;））

この方法は、スパイユーザーを回避するのに十分ですか?

私はPHP5でこれをやっています

ありがとう

Web サイトを作成していて、ある特定のページで、ユーザーを前のページに戻したいと考えています。私は PHP/HTML にかなり慣れていないので、アイデアやヘルプのために既存のコードをいくつか使用しています。

既存のコードは次の方法を使用します。

ただし、このコードを使用すると、HTTP_referer は常に空として扱われ、ユーザーはルート ページにリダイレクトされます。このコードに明らかな欠陥はありますか?

別のページに渡された HTTP_REFERER をスプーフィングして、宛先ページでリクエストが「正しい」ページから来ていることを判断し、適切なロジックを実行できるようにする必要があります。

1. JavaScript (AJAX) でそれを行うにはどうすればよいですか?
2. ASP.Netでそれを行うことはできますか?

TIAラム

エラーページのリファラーに不都合なものが入らないようにしたい.

http ヘッダーを検証するために何を確認する必要がありますか。

以下は私の現在のコードです：

これは、たとえば < と > の代わりに %3C と %3E を使用する acunetix スキャンに失敗するため、明らかに html エンコーディングをカバーする必要があります - 他に不足しているものはありますか?

更新 以下のコードを使用して、すべての acunetix スキャンをキャッチできます。

多くの場合、回答を検索しているときに、特定の Web サイトでは、参照元が google.com の場合、提供されている情報を読むことができることがわかりました。ただし、情報に直接リンクすると、利用できなくなります。

私が探しているのは、次のように、選択したリファラーと宛先を設定する最小の PHP スクリプトです。

ノート：

• ref_red.phpは、私の例のスクリプトの名前です。
• refererとendは、 http、https、ftpを受け入れる必要があります。
• refererとend には、 http://end.comのような単純なものから、: のような複雑な ものまで、任意のタイプの URI を含めることができますhttp://example.com/some/rr/print.pl?document=rr。

注：返信で推奨されているように、これを追加しています。スクリプト自体は完全なプロキシではありません。refererを設定するという唯一の目的で、最初の HTTP リクエストのみがプロキシされます(画像などの後続のリクエストはプロキシされません) 。