【发布时间】:2011-06-03 03:50:13
【问题描述】:
我已阅读以下网页:
PHP Form Security With Referer 和 http://www.mustap.com/phpzone_post_62_how-to-bypass-the-referer-se
所以基本上我的问题是我们如何确定请求是从我们自己的域发送的?还是根本没有办法?
(针对任何服务器端语言的问题,包括但不限于 PHP/JSP/ASP.Net 等)
我的问题:我在http://me.com/login 有一个页面,在提交表单时,它会向自己发布登录详细信息。到现在为止还挺好。直到其他人可以简单地做到这一点
<form action="http://me.com/login">
<input name="password" value="p">
<input name="username" value="u">
</form>
他们可以通过他们的域发送登录到我的应用程序的请求。我不想要这个。我需要一种方法来确保如果我的页面收到一个帖子,它来自我的域。否则我会拒绝它。
此外,当我读到这篇文章时,我有点震惊:There are plugins for Firefox that allow the user to specify whatever value they want to be supplied as the REFERER. 来源:http://www.phpbuilder.com/board/showthread.php?t=10324100
所以我们现在甚至不需要黑客来破解它。几乎任何人都可以做到。
我需要一个解决方案来确保我拒绝所有不是来自我的域的请求。
【问题讨论】:
-
您要解决的实际问题是什么?
-
使用可以在另一端检查的唯一密钥标记请求(url?)
-
@konforce 我正在尝试通过mustap.com/phpzone_post_62_how-to-bypass-the-referer-se了解我们如何解决该问题
-
@Dagon 这个问题的重点是避免这样做..
-
正如之前指出的那样,由于 http 协议的无状态特性 - 你不能。
标签: php asp.net web-services jsp