自引用 URL

Question

构建自引用 URL 的最可靠、最通用的方法是什么？ 换句话说，我想生成 http://www.site.com[:port] 用户浏览器访问的 URL 部分。 我正在使用在 Apache 下运行的 PHP。

一些复杂性：

• 依赖 $_SERVER["HTTP_HOST"] 是危险的，因为这似乎直接来自 HTTP 主机头，有人可以伪造。

• 可能有也可能没有虚拟主机。

• 可能有一个使用 Apache 的 Port 指令指定的端口，但如果它位于负载平衡器或代理后面，则该端口可能不是用户指定的端口。

• 端口实际上可能不是 URL 的一部分。 例如，通常会省略 80 和 443。

• PHP 的 $_SERVER["HTTPS"] 并不总是给出可靠的值，特别是当您位于负载均衡器或代理后面时。

• Apache 有一个 UseCanonicalName 指令，它会影响 SERVER_NAME 和 SERVER_PORT 环境变量的值。 如果有帮助的话，我们可以假设它已打开。

Answer 1

我建议确保安全的唯一方法是在站点的某种配置文件中为 url 定义一个常量。 您可以使用 $_SERVER['HTTP_HOST'] 作为默认值生成常量，并在安全性真正重要的部署中替换为硬编码定义。

define('SITE_URL', $_SERVER['HTTP_HOST']);

并根据需要替换：

define('SITE_URL', 'http://foo.bar.com:8080/');

Answer 2

我记得，你想要做这样的事情：

$protocol = 'http';

if ( (!empty($_SERVER['HTTPS'])) || ($_SERVER['HTTPS'] == 'off') ) {
    $protocol = 'https';
    if ($_SERVER['SERVER_PORT'] != 443)
        $port = $_SERVER['SERVER_PORT'];
} else if ($_SERVER['SERVER_PORT'] != 80) {
    $port = $_SERVER['SERVER_PORT'];
}
// Server name is going to be whatever the virtual host name is set to in your configuration
$address = $protocol . '://' . $_SERVER['SERVER_NAME'];
if (!empty($port))
    $address .= ':' . $port
$address .= $_SERVER['REQUEST_URI'];
// Optional, if you want the query string intact
if (!empty($_SERVER['QUERY_STRING']))
    $address .= '?' . $_SERVER['QUERY_STRING'];

我还没有测试过这段代码，因为我目前没有方便的 PHP。

Answer 3

最可靠的方法就是自己提供。

该站点应编码为主机名中立，但要了解特殊的配置文件。 该文件不会被放入代码库的源代码管理中，因为它属于网络服务器的配置。 该文件用于设置主机名和其他特定于 Web 服务器的参数等内容。 您可以容纳负载平衡器、更改端口等，因为您是说如果 HTTP 请求命中该代码，那么它可以假设您让它假设的程度。

顺便说一句，这个技巧也有助于开发。 :-)

Answer 4

$_SERVER["HTTP_HOST"] 可能是最好的方法，当然是经过一些验证后。

是的，用户指定了它，因此它不可信，但您可以轻松检测到用户何时用它玩游戏。

Answer 5

验证 $_SERVER['HTTP_HOST'] 是否有效的一种想法是通过 DNS 进行验证。 我在一两种情况下使用过这种方法，没有对速度造成严重后果，而且我相信如果提供了 IP 地址，这种方法会默默地失败。

http://www.php.net/manual/en/function.gethostbyname。 php

伪代码可能是：

define('SITEHOME', in_array(gethostbyname($_SERVER['HTTP_HOST']), array(... valid IP's))) 
? $_SERVER['HTTP_HOST']
: 'default_hostname';

Answer 6

为什么{如果您希望用户继续使用他们正在使用的 http:///host:port/您希望生成完整的网址}
您可以使用相对网址，而不是

在页面上说 http://xxx:yy/zzz/fff/< /a>

你可以使用

../graphics/whatever.jpg
{从当前目录返回一个目录并获取 http://xxx:yy/zzz/graphics/随便.jpg

或
/zzz/graphics/whatever.jpg
{转到站点根目录并按指定的方式处理目录}

这些都避免提及主机：端口部分并从当前使用的部分继承它