【发布时间】:2017-04-19 07:40:48
【问题描述】:
我必须根据请求到达我网页的网址来限制访问我网页的用户。我可以使用
获取来自请求的 url$_SERVER['HTTP_REFERER']
据我所知HTTP_REFERER 是客户端发送的标头,大多数浏览器的默认行为是发送它,但用户可以禁用它甚至发送不同的引用标头。那么有什么方法可以根据他们的 url 对请求进行正确的验证。
【问题讨论】:
-
您可以只检查
HTTP_REFERER,并了解很容易绕过此检查。我觉得您正在尝试在无状态协议的上下文中做一些没有意义的事情。此外,CORS 限制是一项旨在保护用户而非服务器的功能。