جلوگیری از درخواست غیرمجاز
سلام
آیا راهی هست که درخواست از یه سایت (مثلا از فرم html یا توسط ajax ) طوری انجام بشه که در سمت سرور مقدار
$_SERVER['HTTP_REFERER']
هاست خود اون سایت رو برگردونه نه هاست درخواست کننده ؟؟
و سوال بعدی اینکه به جز گذاشتن محدودیت
$_SERVER['HTTP_REFERER']
برای جلوگیری از درخواست های غیر مجاز راهی بهتر و مطمئن تر برای عدم اجرای درخواست های ورودی از هاست های دیگه هست یا نه؟
کسی نیست به این تاپیک زبون بسته یه نگاهی کنه ...
شاید کسی منظورتون را نفهمیده باشد!
باز خوبه از این بیابان برهوت یکی پیداش شد ممنون از شما
تاپیک های دیگه معمولا جواب های سریع داشتن .....
آخه چرا ... کجای حرفای من گنگ گفته شده ؟؟نوشته شده توسط pbm_soy
سوال اینه که نوسط فرم HTML و یا درخواست توسط ajax میشه HTTP_REFERER رو جعلش کرد ؟ اگه میشه از چه طریقی ؟
آیا میشه به ایجاد محدودیت توسط HTTP_REFERER در سمت سرور مطمئن بود و نگرانی از بابت request به سایت از یه سایت دیگه رو نداشته باشیم و مطمئن باشیم که درخواست از خود هاست سایت انجام شده ؟
چون سشن هم کافی نیست و HTTP_REFERER محدودیت خوبیه و نیاز من رو تامین میکنه ولی تو بعضی تاپیک ها اشاره ای به غیر مطمئن بودن آن اشاره کردن ولی هیچ دلیلی و یا لینکی برای پیگری موضوع ندارن
حتما developer های عزیز درگیر این مسئله بودن و در جریان اهمیت اون هستن متاسفانه این عزیزان اطلاعات عمومی در مورد دستورات PHP و ... در این سایت گذاشتن که در سایتهای مرجع اونها کاملترش وجود داره ولی در مورد نکات برنامه نویسی که باید هدف اصلی انجمن همین مهم باشه توجه زیادی نشده و دوستان که مطمئنا درگیر چنین موضوعاتی بودن ظاهرا به ارائه تجربه شون در این زمینه ها علاقه ای ندارن ...
واقعا دیگه نمیدونم بیشتر از این چطور توضیح بدم ... از نظر من سوال کاملا واضح هستش .... شاید بیشتر از ندوستن منظور سوال ، دلیل دیگه ای برای عدم پاسخگویی باشه .... برهر حال ممنون از دوستان فعال سایت
بله امکان دستکاری گکردن و جعل http-referer وجود دارد! وقابل اعتماد نیست!
این چیزی است که خود سایت php.net گفته!
برای جعل کردن و تغییر آن هم میتوانید سرچ کنید که هم با javascript و php روشهایی را مطرح کرده اند!
دو نکته مهم :
1_ مقدار HTTP_REFERER از سمت کاربر ، توسط مرورگر مقداردهی میشهو براحتی قابل جعل و دستکاری هست
2_ تازمانیکه اسکریپت php شما اجازه نداده باشه
هیچ هاست یا دامنه دیگه ای نمیتونه از طریق ajax درخواستی بفرسته
هر درخواستی که ارسال بشه بی پاسخ میمونه
مگراینکه از همان دامنه باشد
یعنی مثلا test.ir فقط میتونه درخواست آجاکس بفرسته به دامنه test.ir
حتی از دامنه login.test.ir نمیشه درخواستی ارسال کرد به test.ir (نمیشه)
اگر اسکریپت شما در دامنه test.ir باشه
و بخواهید به login.test.ir اجازه بدید
که درخواست آجاکس بتونه بفرسته
باید از این کد استفاده کنید :
header('Origin: http://login.test.ir');
موفق باشید
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول