Ho uno script PHP che controlla l'HTTP Referer.
if ($_SERVER['HTTP_REFERER'] == 'http://www.example.com/') {...}
Tuttavia, questo sembra inherintly pericoloso ... perché cosa succede se l'utente va a 'http://example.com/'
o 'http://www.ExaMple.com'
(entrambi i quali non corrispondono al test di uguaglianza).
Domanda: qual è un test di uguaglianza migliore per garantire che l'HTTP Referer provenga da 'example.com'
?
Si sta utilizzando per la difesa? Come può aiutare? –
E 'solo una prima linea di difesa (soprattutto dato che so che il referente può essere falsificato). Non protegge nulla, ma allo stesso tempo, non voglio che le persone abusino del mio servizio web chiamandolo direttamente. È più destinato a mantenere le persone semi-oneste. – Hank
Un utente può controllare il http_referer utilizzando i dati di manomissione. Tuttavia, il referente non può essere "forgiato" per essere usato in un attacco CSRF. – rook