0
假設我正在構建網站。我希望用戶只能訪問index.php文件。我還有其他文件,如www.mydomain.com/aboutus.php文件,如果用戶在地址欄中輸入這些文件,用戶可以訪問它們。我希望用戶只能訪問www.mydomain.com。確保請求來自服務器
這些安全功能是如何構建的?
A
回答
0
如果我正確理解您希望允許他們只能訪問您的索引/根文檔(www.mydomain.com/index.php等),並且無法輸入:www.mydomain。 com/aboutus.php使用HTTP引用來確保它們來自的頁面是正確的頁面非常簡單:
重要注意事項(編輯):$ _SERVER類型變量容易被客戶端僞造從cURL甚至telnet之類的東西,可以成爲CSRF類型攻擊的基礎,所以這絕不是一個安全的實現,比如會話標記化。
aboutus.php在最高層:
<?php
// Put the url they came from
$ref = $_SERVER['HTTP_REFERER'];
if($ref !== 'http://mydomain.com/index.php') {
die("Must come here from index");
// uncomment below to redirect them automatically
// header('location: index.php');
}
// Otherwise they came from index so show the page.
echo "Displaying about page:";
echo $content;
?>
+0
感謝您的回答。 – user2178841
+0
雖然這並非真正安全。引用者可以在客戶端自由欺騙。 –
+0
@皮卡웃 - 我明白你的關注。你可以編輯/修改或發佈一個新的答案,包含類似上面的內容,但是在這個用例中有一個基於$ _SESSION令牌的策略?我做了一些四處張望試圖編輯我的答案,以納入這一點,但我不完全有信心。 – cerd
相關問題
- 1. Autocompleter與來自服務器的請求
- 2. 來自服務器的跨域請求
- 3. 保證請求來自本地服務器
- 4. 確定請求是來自服務器還是客戶端c#
- 5. 確保向Web服務發送請求
- 6. 來自瀏覽器或服務器的請求URL
- 7. 如何檢查來自同一服務器或不同服務器的請求?
- 8. java服務器http服務器收到來自Chrome的空請求
- 9. Node.js,如何確保客戶端從服務器獲取數據,而不'確認'來自客戶端的請求
- 10. 如何識別http請求是來自瀏覽器還是來自代理服務器(或服務器)?
- 11. 如何確定HTTP請求是來自瀏覽器還是其他Web服務?
- 12. 確定來自服務器端的客戶端請求的URL。 Socket.io
- 13. 確定asp.net ajax請求來自哪個服務器(在web farm中)?
- 14. Iframe請求來自客戶端或中間服務器?
- 15. WCF,處理來自多個服務器的同時請求
- 16. 來自Firebase服務器的Facebook API請求
- 17. 來自Millennial Media Ad服務器的GET請求
- 18. 服務器配置爲發送404來自cURL的請求?
- 19. 來自APE服務器模塊的POST請求問題
- 20. mvc web api只允許來自同一服務器的請求
- 21. 如何減少來自服務器的多個JavaScript請求
- 22. Zend Framework 2 - AJAX來自其他服務器的請求
- 23. 如何獲取請求來自的服務器的IP地址?
- 24. 跟蹤來自Web服務器的傳出HTTP請求
- 25. 基本PUT,來自http服務器的GET請求
- 26. 發送來自SQL服務器的http請求
- 27. 來自服務器的排隊請求[Apache]
- 28. 來自Windows NPS服務器的Linux客戶端請求證書
- 29. 來自nginx代理服務器的轉發請求標頭
- 30. JSON:拒絕來自第三方的服務器請求
你正在尋找一個登錄令牌或只是會話/許可的cookie(?)。 – mario
你在問什麼?大聲笑 –
@mario我不知道登錄令牌或會話權限的細節。我猜只是會話/權限cookie。但我會欣賞這兩個描述。 (我猜通過登錄令牌你的意思是用戶權限,等等。) – user2178841