如果$ _SERVER ['HTTP_REFERER']不可靠，我将使用什么来确保网络应用程序的完整性？

I thought I was being really slick by using the $_SERVER['HTTP_REFERER'] variable to guarantee my script was being called from the appropriate page.

Luckily, when I performed a header('Location: yourPathHere.php') redirect in my testing browser, it wouldn't set the $_SERVER['HTTP_REFERER'] variable. So I looked it up at http://php.net/manual/en/reserved.variables.server.php, only to find this...

'HTTP_REFERER'

The address of the page (if any) which referred the user agent to the current page. This is set by the user agent. Not all user agents will set this, and some provide the ability to modify HTTP_REFERER as a feature. In short, it cannot really be trusted.

So my question is: How can I guarantee my page is being navigated to from a trusted source?

EDIT: To clarify questions regarding the comments section. I'm trying to avoid XSRF (cross-site request forgery).

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douwei1950 2011-04-21 14:59
关注
Relying on any user originated input for request verification is almost no better than no verification at all.

You should read this section on CSRF countermeasures from Wikipedia for a basic outline of available approaches to tackling the issue.

In short:

Web sites have various CSRF countermeasures available:

Requiring a secret, user-specific token in all form submissions and side-effect URLs prevents CSRF; the attacker's site cannot put the right token in its submissions

Requiring the client to provide authentication data in the same HTTP Request used to perform any operation with security implications (money transfer, etc)

Limiting the lifetime of session cookies

Ensuring that there is no crossdomain.xml file granting unintended access to Flash movies
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

如果$ _SERVER ['HTTP_REFERER']不可靠，我将使用什么来确保网络应用程序的完整性？ php
2011-04-21 14:15

回答 2 已采纳 Relying on any user originated input for request verification is almost no better than no verifica
如何在PHP中正确使用$ _SERVER ['HTTP_REFERER']？ php
2016-03-26 19:52

回答 4 已采纳 I wouldnt recommend using HTTP_REFERER: It's fairly simple to manipulable in browser. Some users
$ _SERVER ['HTTP_REFERER']不在IE上工作 php
2018-10-31 13:12

回答 1 已采纳 Is this a known issue? Yes: 'HTTP_REFERER' The address of the page (if any) which r
php学习
2022-04-14 17:51

拓海AE的博客 PHP 简介 PHP 是服务器端脚本语言。 PHP 是什么？ PHP（全称：PHP：Hypertext Preprocessor，即"PHP：超文本预处理器"）是一种通用开源脚本语言。 PHP 脚本在服务器上执行。 PHP 可免费下载使用。 PHP 文件是什么...
$ _SERVER ['HTTP_REFERER']总是空的 - PHP php
2010-12-23 09:57

回答 2 已采纳 No way to do according to my requirement
Codeigniter替代标题（'Location：'。$ _SERVER ['HTTP_REFERER']）; mysql php
2018-01-21 09:41

回答 2 已采纳 You ca load the User agent library and do this as well: redirect($this->agent->referrer());
$ _SERVER ['HTTP_REFERER']出错 php
2013-11-07 12:40

回答 3 已采纳 This is because HTTP_REFERER is not set you can try if(isset($_SERVER['HTTP_REFERER'])) echo
OWASP_top_10漏洞的总结笔记_server leaks version information via &quot；server&quot； http
2024-04-28 15:50

2401_84264374的博客三、使用Flash ActionScript 脚本：前提是目标站点下存在crossdomain.xml文件，且其配置允许其他域的 AS脚本进行跨域请求。相关代码：var _l = new URLLoader(new URLRequest(“http://目标站点/"));_l.load();
使用$ _SERVER ['HTTP_REFERER']和GET变量 php
2013-09-19 21:52

回答 2 已采纳 It would be better to add a GET parameter from your home page links and check for that parameter i
$ _SERVER [“HTTP_REFERER”]未返回完整的URL php
2014-02-11 22:48

回答 1 已采纳 Due to the way URL's are handled by browsers, the server never receives anything past the hash fra
Drupal 7中没有referer（$ _SERVER ['HTTP_REFERER']） apache php
2013-12-17 09:27

回答 1 已采纳 Maybe this can help you to track your users https://api.drupal.org/api/drupal/includes!common.inc
OWASP_top_10漏洞的总结笔记_server leaks version information via &quot；server&quot； http(1)
2024-04-26 20:22

2401_84253894的博客双扩展名解析绕过攻击： (1)基于Web服务的解析逻辑：如果上传一个文件名为help.asp.123，扩展名123 不在扩展名黑名单中也没在Apache 可解析扩展名列表中，此时会向前搜寻下一个可解析的扩展名，若搜寻到.php，则会以...
如果我使用预定义URL的数组进行验证，$ _SERVER ['HTTP_REFERER']是危险的吗？ php xss
2012-03-06 01:27

回答 3 已采纳 $_SERVER["HTTP_REFERER"] is not dangerous - it's just attacker controlled. It won't hurt you unles
OWASP_top_10漏洞的总结笔记_server leaks version information via &quot；server&quot； http(2)
2024-04-26 20:23

小猴子程序员的博客（2）输出编码（服务器端）：可以使用HTML编码（PHP的htmlspecialchars()函数、ASP的Server.HTMLEncode()函数、ASP.NET的Server.HtmlEncode()函数），用对应的HTML实体替代字面量字符，此时浏览器会将恶意代码当作...
六万字 HTTP 必备知识学习，程序员不懂网络怎么行，一篇HTTP入门不收藏都可惜
2021-10-14 08:00

呆呆敲代码的小Y的博客六万字 HTTP 必备干货学习，程序员不懂网络怎么行，一篇HTTP入门不收藏都可惜！网络知识入门必备，学习起来！
jquery mobile_使用jQuery Mobile改善Web应用程序的安全性
2020-06-24 07:56

cuyi7076的博客在你开始前本教程适用于有兴趣保护其应用程序的... 它旨在作为Web应用程序安全性的介绍。要进一步阅读此处介绍的问题以及其他相关主题，请参阅参考资料。关于本教程常用缩略语 API：应用程序接口 ...
curl php 模拟来源_PHP cURL实现模拟登录与采集使用方法详解教程
2020-12-30 22:26

二货哈士奇的博客对于做过数据采集的人来说，cURL一定不会陌生。...因此，本文将为你介绍采集神器cURL的使用。工具火狐浏览器(FireFox) + Firebug“工欲善其事，必先利其器。” 在分析案例之前，先让我们学习一下如何利用神器...
http请求报文主机IP_一次完整的HTTP请求与响应涉及了哪些知识？
2020-11-22 12:07

weixin_39856269的博客一、 HTTP请求和响应步骤图片来自：理解Http请求与响应以上完整表示了HTTP请求和响应的7个步骤，下面从TCP/IP协议模型的角度来理解HTTP请求和响应如何传递的。二、TCP/IP协议TCP/IP协议模型(Transmission Control ...
@nginx多server及使用优化（php）
2021-04-01 00:39

ଲ小何&才露煎煎饺的博客文章目录一、nginx多server优先级二、禁止IP访问页面三、nginx的包含include四、nginx 路径的alias和root1.配置2.总结五、nginx的try_files1.配置try_files2.配置实例六、显示指定错误页面Nginx 优化一、性能优化...
没有解决我的问题, 去提问

悬赏问题

¥100 set_link_state
¥15 虚幻5 UE美术毛发渲染
¥15 CVRP 图论物流运输优化
¥15 Tableau online 嵌入ppt失败
¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度

如果$ _SERVER ['HTTP_REFERER']不可靠，我将使用什么来确保网络应用程序的完整性？

2条回答 默认 最新

悬赏问题

2条回答默认最新