PHP 引荐来源网址：如何确保请求实际上来自它应该来自的地方

Question

我想在其他“批准”的域上放置一个返回我的网站的链接。当他们单击该链接时，它会转到一个检查引荐来源网址 ($_SERVER['HTTP_REFERRER']) 的页面，以确保他们来自被批准拥有我的链接的域。这可能是欺骗性的，那么我如何确保点击实际上来自批准的域？

Answer 1

你做不到。你无法阻止推荐人受到攻击。

如果多个站点之间存在协作，则可以采用替代方案。例如，其他站点中到您站点的链接可以将令牌作为 URL 中的参数传递，该令牌只能使用一次，然后您可以验证该令牌。

多种验证策略是可能的。您的站点可以联系其他站点并询问传递的令牌是否有效，或者您可以使用带有令牌的签名作为随机数，这样您就不必联系其他站点。