HTTP_REFERER 未保存在会话中

Question

我知道 HTTP_REFERER 可以被欺骗，但它以我们现在想要的方式完美地完成了工作。除了我无法将第一个引荐来源网址保存在会话中，因此从 domain.com 输入有效，但转到另一个页面将被阻止，因为 HTTP_REFERER 更改为我们自己的域。以下是我的代码，希望有人可以帮助我。

<?php
// Start the session
if (session_status() == PHP_SESSION_NONE) {
    session_start();
}
?>

<?php
// Getting referer and saving
$server = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
$referer = parse_url($server);
$refererhost = isset($referer['host']) ? $referer['host'] : '';
$_SESSION['originalref'] = $refererhost;
?>

<?php if ($_SESSION['originalref'] == 'domain.com'): ?>

<!doctype html>
<html>
    <head>
    </head>
    <body>
        <p>Allowed.</p>
    </body>
</html>

<?php else: ?>

<!doctype html>
<html>
    <head>
    </head>
    <body>
        <p>Not allowed. Debug: <?= $_SESSION['originalref'] ?></p>
    </body>
</html>

<?php endif; ?>

编辑：我在语句中简化了 HTML 输出，通常会加载一个完整的站点，这是根模板。

Answer 1

解决了这个问题，因为@04FS 为我指明了正确的方向，也感谢@davidev 的宝贵时间。解决方法是检查会话是否已经设置，否则会覆盖每一页，所以我添加了以下内容：

if(!isset($_SESSION['originalref'])){

    $_SESSION['originalref'] = $refererhost;

}

现在它开始工作了！

Answer 2

我在自己的服务器上尝试了您的代码。我正在从 HTML 文件设置引荐来源并调用 php 文件。

echo $_SERVER['HTTP_REFERER']; 确实有效 - 我得到 ..../test.html。

之后，我像您一样将该值直接保存到 Session 变量中。

$_SESSION['originalref2'] = $_SERVER['HTTP_REFERER'];

重要提示：在另一个页面上，您需要先启动 Session，然后才能使用 Session 变量。

<?php
session_start();
echo $_SESSION['originalref2'];

?>

会输出正确的referer链接。

Answer 3

您可以使用 $_SERVER['SERVER_NAME'] 而不是 $_SERVER['HTTP_REFERER'] 来获取确切的域。