如果不是来自某些引用者 PHP，则限制访问

Question

我绞尽脑汁想知道为什么这不起作用。

我想要实现的是限制对我自己网站上的页面的访问，只有来自某个网​​站，例如 Facebook。

由于链接将发布在 1 个或多个 Facebook 页面和/或我的个人资料上，如果来自 Facebook 和/或发布它的任何其他“页面”，希望脚本能够执行。

例如，如果我在 www.facebook.com/This_is_my_PAGE 上发布我的链接或发布在我的个人资料 www.facebook.com/freds_personal_profile 上或有人分享我在 Facebook 上的链接，希望该页面仅供来自 Facebook 域的人访问。

我在搜索解决方案时找到了下面的脚本，但它正在回显我的错误消息，而不是重定向到有问题的链接。

$target_site = 'https://www.facebook.com/';
if (isset($_SERVER['HTTP_REFERER']) && preg_match("/$target_site/",$_SERVER['HTTP_REFERER'])) {
// do something with people from facebook.com
} 

else {
// do something else with everyone else

echo "Sorry, viewable to Facebook fans only.";

}

Answer 1

Facebook 将外部链接连接到 http 协议，而不是 https。将您的目标网站更改为：

$target_site = 'http://www.facebook.com/';

您可以通过右键单击 facebook 中发布的链接并将其复制到剪贴板（然后粘贴）来确认这一点。你会看到它看起来像这样：

`http://www.facebook.com/l.php?u=...`

无论您实际上是使用https 还是http 浏览，都会出现这种情况。

Answer 2

首先，您的代码存在缺陷，因为：

• 如果用户没有使用 Facebook 的“安全版本”（http 而不是 https）怎么办？
• 如果用户来自facebook.com而不是www.facebook.com怎么办？
• 如果恶意用户诱骗用户进入http://example.com/evilpage.php?https://www.facebook.com/ 之类的网站怎么办？

它不起作用的主要原因是您的正则表达式完全无效。相反，它应该是：

preg_match("/".preg_quote($target_site,"/")."/i",$_SERVER['HTTP_REFERER']);

(documentation on preg_quote())

除此之外，检查引荐来源网址没有任何安全性。它可以更改，可以完全阻止。不应该依赖它。