3

我想在其他“已批准”域上将链接放回我的网站。当他们点击链接时,它会转到一个页面,该页面会检查引荐来源 ($_SERVER['HTTP_REFERRER']) 以确保他们来自已获准拥有我的链接的域。这可以被欺骗,那么我如何确保点击实际上来自批准的域?

4

1 回答 1

8

你不能这样做。您无法阻止引荐来源网址受到攻击。

如果多个站点之间存在协作,则可能有替代方案。例如,其他站点中指向您​​站点的链接可以将令牌作为 URL 中的参数传递,该参数只能使用一次,然后您可以对其进行验证。

几种验证策略是可能的。您的站点可以联系另一个站点并询问它传递的令牌是否有效,或者您可以使用一个签名,该令牌充当一个随机数,这样您就不必联系另一个站点。

于 2010-07-25T18:04:22.517 回答