如果根据PHP文档无法信任$_SERVER['HTTP_REFERER']
,您如何确定POST来自我们自己的服务器?会议是唯一的方式吗?
答案 0 :(得分:1)
您应该查看标准的“跨站点请求伪造”预防技术。这些将为您提供邮件通过您的服务器/代码传递的一些安全性。
答案 1 :(得分:0)
使用nonce字段并在表单帖子上验证它。使用nonce(一次使用的数字)是防止跨站点请求伪造(CSRF)黑客攻击的最佳方法。
此库对您http://fullthrottledevelopment.com/php-nonce-library
非常有帮助它基于wordpress如何处理nonce字段。
你可能还会看到wordpress代码,看看它是如何处理nonce的。有两个函数wp_create_nonce()创建一个nonce值,用于要提交的表单中的隐藏字段,然后有wp_verify_nonce()在提交后验证nonce。