PHP 通过 file_get_contents 获取调用您的脚本的站点

Question

我的网站上托管了一个 PHP 脚本，它根据传递的 GET 参数输出一个值。

其他网站通过 PHP 函数 file_get_contents 从他们自己的 PHP 脚本中调用此脚本，并使用 url 和获取参数，并仅返回请求的值。

我正在尝试仅允许某些域访问此脚本，并且一直在使用 HTTP_REFERER 检查谁在调用该脚本。

if (isset($_SERVER['HTTP_REFERER'])) // check if referrer is set
{
    echo $_SERVER['HTTP_REFERER']; // echo referrer
}
else
{
    echo 'No referrer set'; // echo failure message
}

当我使用 file_get_contents 时，我没有设置引荐来源网址，但如果我使用从页面到具有上述代码的脚本的点击链接，引荐来源网址会正确显示。

我是否使用了错误的函数 (file_get_contents) 来调用外部脚本，有人可以建议正确的函数还是应该这样做？

非常感谢任何帮助。 谢谢

Answer 1

您不能使用 HTTP_REFERER 执行此操作。

它由客户端设置的HTTP_REFERER，它可以是客户端想要的任何东西。

您必须改用密码/密钥身份验证机制。

Answer 2

请记住，HTTP 标头“Referer”是可选标头 - 无需网站将其发送给您，而且很容易被伪造。如果您真的只希望某些人使用您的资源，最好使用某种形式的身份验证。

通常Referer：由网络浏览器发送，但没有必要这样做——例如，如果referer 是安全站点，他们就不会发送它。使用 PHP file_get_contents() 在技术上无论如何都没有推荐人；您不会被任何地方“推荐”。

请考虑：

• 按 IP 地址锁定（但请记住，多个域可以共享一个 IP，并且域的 IP 可以更改。）
• 使用某种形式的身份验证（最好不是以纯文本形式传输密码的！）

在决定应用正确的安全性时，您应该考虑您需要该服务的安全性，以及可能会受到哪些威胁。

Answer 3

你会更好地基于 IP 地址而不是域进行限制，更可靠。只需保留一组允许的 IP 并调用 in_array($_SERVER['REMOTE_ADDR'],$allowedAddresses) 进行验证。

或者只需要通过 cookie 或 HTTP auth 进行身份验证...

Answer 4

可能想要使用流上下文中的某些东西来设置额外的标头。

http://us.php.net/manual/en/function.stream-context-create.php

此外，如果需要，您可以设置一个“秘密”标头来验证请求，而不是引用者。