如何檢查來自同一服務器或不同服務器的請求？

Question

如何檢查收到的請求是否從同一個服務器發送？

說，我在www.domain.com上有我的域名。現在我已經php處理文件，它將處理通過此域託管的表單。只有當請求從域內發送時，這個過程纔會被執行。 www.domain.com和從其他域發送的任何其他請求都將被丟棄。

Answer 1

基本上：你不行。
使用HTTP協議，每個請求都是獨立於其他請求的。

第一個想法是將檢查的Referer HTTP標頭，但要注意：

• 它可以僞造（它是由瀏覽器發送）
• 並不總是存在。

所以：不是一個可靠的解決方案。

一種可能，並遠遠超過了Referer的想法更好，解決方案可以是使用一個nonce：

• 當顯示形式，把一個隱藏的輸入字段中它包含一個隨機值
• 同時，將該隨機值存儲到與用戶對應的會話中。
• 提交表單時，請檢查隱藏字段的值是否與存儲在會話中的值相同。

如果這兩個值不一樣，請拒絕使用提交的數據。

注：這個想法經常被用來幫助對抗CSRF戰鬥 - 並集成在一些框架的「表」組件（Zend Framework，例如）。

Answer 2

我知道這是一箇舊線程，但其他人可能會發現它相關。

答案是：是的，你可以。但這取決於您的Apache/nginx服務器是否設置爲使用所需的信息填充$ _SERVER變量。大多數服務器是，所以你可以使用這種方法。

您需要做的是從$ _SERVER變量中提取HTTP_REFERER並與您的域進行比較。

<?php 
function requestedByTheSameDomain() { 
    $myDomain  = $_SERVER['SCRIPT_URI']; 
    $requestsSource = $_SERVER['HTTP_REFERER']; 

    return parse_url($myDomain, PHP_URL_HOST) === parse_url($requestsSource, PHP_URL_HOST); 
} 

Answer 3

這將檢查是否有引用者，那麼就會將其與當前的域進行比較，如果不同，則是從外部引用者

if ((isset($_SERVER['HTTP_REFERER']) && !empty($_SERVER['HTTP_REFERER']))) { 
if (strtolower(parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST)) != strtolower($_SERVER['HTTP_HOST'])) { 
// referer not from the same domain 
} 
}