Inspeccione la referencia en PHP

Question

¿Es posible verificar quién está ingresando a su sitio web en PHP? Tengo una aplicación web (escrita en PHP) que solo debería permitir a los usuarios ingresar desde algunos sitios web en particular. ¿Es posible obtener los sitios web de referencia examinando el objeto _Request? Si es así, ¿cómo?

Answer 1

Sí, pero tenga en cuenta que algunos proxies y otras cosas eliminan esta información, y se puede falsificar fácilmente. Así que nunca confíes en eso. Por ejemplo, no crea que su aplicación web es segura desde CSRF porque marca la referencia para que coincida con su propio servidor.

$referringSite = $_SERVER['HTTP_REFERER']; // is that spelt wrong in PHP ? 

Si desea permitir sólo las peticiones de un dominio específico que tendrá que analizar algunas de las URL para obtener el dominio de nivel superior. Como he aprendido más, esto se puede hacer con PHP parse_url().

Como andyk señala en los comentarios, también tendrá que permitir www.example.com y example.com.

Answer 2

Necesita examinar la matriz $ _SERVER para la clave 'HTTP_REFERER'.

Answer 3

Mientras que usted puede mirar $_SERVER['HTTP_REFERER'] para obtener el sitio que refiere, no apueste la granja en él. El navegador establece este encabezado y es fácilmente falsificado.

Si es fundamental que solo las personas que provienen de referentes específicos vean su sitio, no use este método. Deberá buscar otra forma, como autenticación básica, para proteger su contenido. No digo que no deba usar esta técnica, solo tenga en cuenta que no es infalible.

Por cierto, también puede bloquear las referencias en el nivel de Apache using mod_rewrite.

Answer 4

No puede confiar en la referencia. A pesar de proceder de la matriz $_SERVER, en realidad se trata de un valor suministrado por el usuario/navegador y se puede falsificar fácilmente, usando cosas como Firefox RefControl addon.