我有一个 php 页面“server1.com/page1.php”(不是真实的)和另一个页面“server2.com/page2.php”
page1.php 根据 URL 传递的参数响应,可以来自任何服务器。
但是我如何检查是否从“server2.com/page2.php”调用了“server1.com/page1.php”。
提前致谢
【问题讨论】:
有很多方法可以实现。
这个最简单的方法是检查 $_SERVER['HTTP_REFERER'] 以查看它是否匹配,尽管这不是 100% 可靠的,也不是真正的安全性。
第二种方法是使用 PHP 的会话功能。不过,这需要两台服务器使用共享会话跟踪区域,这是一种更高级的服务器设置。
第三种方法是使用共享的 MySQL 服务器,两者都可以访问以验证请求。这会引入延迟,可能会稍微减慢请求速度。
第四种方法是使用对原始服务器的回调来验证它确实发出了请求。 Server2 向 Server1 发出请求,然后 Server1 联系 Server2 并询问它刚刚收到的请求是否真的来自它。
第五种方法是使用私钥/公钥对签署您的请求。通过这种方式,您可以确定请求是否专门来自它声称的服务器。
【讨论】:
我以前使用散列、已知秘密和时间戳做过此操作。时间戳是必要的,以确保潜在的窃听者无法在他们选择的任何时间重播此过程。
或者,我会考虑添加用户名的哈希,这样即使可能发生重放攻击,它也会被锁定为单个用户名。
1 现在 SHA1 听起来有点太快了。 password_hash 的算法可能会更好,因为它们故意变慢 - 如果你愿意,你可以简单地配置额外的轮次。
【讨论】:
让 page1.php 设置 page2.php 检查的会话变量。
【讨论】: