确定 PHP 中的 Referer

Question

确定哪个页面发送或调用（通过 AJAX）当前页面的最可靠、最安全的方法是什么。 我不想使用 $_SERVER['HTTP_REFERER']，因为（缺乏）可靠性，并且我需要调用的页面仅来自我网站上的请求。< br>
编辑：我希望验证是否从我网站上的页面调用了执行一系列操作的脚本。

Answer 1

REFERER 作为 HTTP 协议的一部分由客户端浏览器发送，因此确实不可靠。 它可能不存在，也可能是伪造的，如果出于安全原因，您就不能信任它。

如果您想验证请求是否来自您的网站，那么您不能，但您可以验证用户是否已访问您的网站和/或已通过身份验证。 Cookie 在 AJAX 请求中发送，因此您可以信赖它。

Answer 2

我发现最好的是 CSRF 令牌，并将其保存在需要验证引荐来源网址的链接的会话中。

因此，如果您生成 FB 回调，那么它看起来会像这样：

$token = uniqid(mt_rand(), TRUE);
$_SESSION['token'] = $token;
$url = "http://example.com/index.php?token={$token}";

然后，index.php 会看起来像这样：

if(empty($_GET['token']) || $_GET['token'] !== $_SESSION['token'])
{
    show_404();
} 

//Continue with the rest of code

我确实知道有一些安全站点会对其所有安全页面执行与此相同的操作。

Answer 3

使用 $_SERVER['HTTP_REFERER']

将用户代理引向的页面地址（如果有）
当前页面。 这是由用户代理设置的。 并非所有用户代理都会
设置此项，有些提供将 HTTP_REFERER 修改为
特征。 简而言之，它确实不能被信任。

if (!empty($_SERVER['HTTP_REFERER'])) {
    header("Location: " . $_SERVER['HTTP_REFERER']);
} else {
    header("Location: index.php");
}
exit;

Answer 4

没有可靠的方法来检查这一点。 它真的是在客户的手下告诉你它来自哪里。 您可以想象使用仅放置在网站的某些页面上的 cookie 或会话信息，但这样做会破坏书签的用户体验。

Answer 5

阅读完所有虚假推荐人问题后，我们只剩下一个选择：
IE
我们希望作为引用者跟踪的页面应该保留在会话中，并且作为 ajax 调用，然后检查会话是否具有引用者页面值，并执行该操作，否则不执行任何操作。

另一方面，当他请求任何不同的页面时，则将引用者会话值设置为空。

请记住，会话变量仅在所需的页面请求上设置。