我的情况是其他网站要求我的网页。该网站将有超链接到我的网页。
我需要检查请求是否来自有效网站。我通过检查该网站的URL Referer来做到这一点,并且工作正常。
验证此请求的另一种方法是验证客户端证书(x.509)。
我想知道验证referer网站的最佳/安全方法是哪种?除了url referer和证书验证之外,还有其他方法来验证referer站点吗?
由于 Fenil
答案 0 :(得分:0)
客户端证书会识别点击链接的人,但不会识别引用页面,因此应该排除它。
至于推荐人,它确实有效,但有几点需要注意: 1 - 它不安全(对于“安全”的大值)。 http_referrer是浏览器在您站点的请求中插入的可选字段。因此它受客户控制,可以轻松伪造。所以,如果你想要的安全级别是“确保有人没有在另一个页面上发布我的链接,不知道的用户可能会点击它”,那么你就可以检查推荐人了。如果您依赖于此更多(例如确保传入的人有权在您的网站上执行某些操作),那么您可能需要一种用户身份验证形式
2-某些可能安装在用户计算机上的软件(如“Norton Internet Security”)会掩盖http_referrer的隐私问题,因此您的某些用户可能没有http_referrer。