php ajax http_referer,PHP check http referer for form submitted by AJAX, secure?

于 2021-08-06 14:42:56 发布
阅读量197 收藏
点赞数
文章标签: php ajax http_referer

This is the first time I am working for a front-end project that requires server-side authentication for AJAX requests. I've encountered problems like I cannot make a call of session_start as the beginning line of the "destination page", cuz that would get me a PHP Warning :

Warning: session_start() [function.session-start]:

Cannot send session cache limiter -

headers already sent (output started at C:\xampp\htdocs\comic\app\ajaxInsert

Book.php:1)

in C:\xampp\htdocs\comic\app\common.php on line 10

I reckon this means I have to figure out a way other than checking PHP session variables to authenticate the "caller" of this PHP script, and this is my approach :

I have a "protected" PHP page, which must be used as the "container" of my javascript that posts the form through jQuery $.ajax(); method

In my "receiver" PHP script, what I've got is:

define(BOOKS_TABLE, "books");

define(APPROOT, "/comic/");

define(CORRECT_REFERER, "/protected/staff/addBook.php");

function isRefererCorrect()

{

// the following line evaluates the relative path for the referer uri,

// Say, $_SERVER['HTTP_REFERER'] returns "http://localhost/comic/protected/staff/addBook.php"

// Then the part we concern is just this "/protected/staff/addBook.php"

$referer = substr($_SERVER['HTTP_REFERER'], 6 + strrpos($_SERVER['HTTP_REFERER'], APPROOT));

return (strnatcmp(CORRECT_REFERER, $referer) == 0) ? true : false;

}

//http://stackoverflow.com/questions/267546/correct-http-header-for-json-file

header('Content-type: application/json charset=UTF-8');

header('Cache-Control: no-cache, must-revalidate');

echo json_encode(array

(

"feedback"=>"ok",

"info"=>isRefererCorrect()

));

?>

My code works, but I wonder is there any security risks in this approach? Can someone manipulate the post request so that he can pretend that the caller javascript is from the "protected" page?

UPDATE:

just realized I can let javascript from the secured page generate a unique token per ajax request, and use the passed token value to authenticate whether it is a "genuine ajax call" from the secured page

Will this be much better? Or should I just encrypt the content of the post request?

UPDATE AGAIN :

After two hours of looping through the included pages, I finally noticed that this weird situation was caused by my PHP page encoding...

I gave Notepad++ a try and carelessly chose the page encoding as UTF-8 with Byte Order Marker, so I kept getting the warning message due to the "weird" interpretation of this line:

A good lesson for me...

Many thanks to any hints or suggestions.

Ruin-鸣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpHTTP_REFERER函数用法实例
10-25
主要介绍了phpHTTP_REFERER函数用法,以实例的形式分别讲述了判断用户来路与伪造来路地址等应用,需要的朋友可以参考下
php 伪造HTTP_REFERER页面URL来源的三种方法
10-21
主要介绍了php 伪造HTTP_REFERER页面URL来源的三种方法的相关资料,需要的朋友可以参考下
post如何获取到referrer_记录向:如何快速的成为 Ant Design 的 contributor
weixin_39671621的博客
12-01 248
大家好,我是 Rustin。今天想跟大家介绍下如何快速的成为 antd 的贡献者,希望能够对想要加入 antd 社区贡献的同学有帮助!此博客在 GitHub 上公开发布. 如果您有任何问题或疑问,请在此处打开一个 issue。简介其实 antd 几乎不需要做任何的介绍,大家都知道它是中国甚至世界都炙手可热的 UI 设计框架。他们的口号是:企业级产品设计体系,创造高效愉悦的工作体验。我对这个框架感情...
http请求的referer属性
摩羯座
12-21 3万+
  HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。下列情况是从浏览器的地址栏正常取得Request.ServerVariables(
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERERphp文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
PHP伪造referer访问地址的三种方法
houzhyan-博客
04-06 6959
CURL方式: [php] view plain copy  print? $ch = curl_init();       curl_setopt ($ch, CURLOPT_URL, "http://www.yyyy.com");       curl_setopt ($ch, CURLOPT_REFERER, "http://www.xxxx
在WordPress插件中启用AJAX文件上传
culi4814的博客
08-31 823
Providing upload functionality in our plugin is always tricky business. We need to be able to provide a good user experience (UX) for uploading, while also keeping an eye on the security concerns that...
阅读数 wordpress_什么是WordPress随机数?
culi4814的博客
08-29 285
阅读数 wordpressKeeping your WordPress theme or plugin code secure is important to prevent possible attacks from malicious users. 确保WordPress主题或插件代码的安全对防止恶意用户可能的攻击非常重要。 We’ve previously covered how to...
php curl 简介
08-31 663
Client URL Library 简介安装/配置 需求安装运行时配置资源类型 预定义常量范例 cURL 函数 curl_close — 关闭一个cURL会话curl_copy_handle — 复制一个cURL句柄和它的所有选项curl_errno — 返回最后一次的错误号curl_error — 返回一个保护当前会话最近一次错误的字符串curl_exec — 执
drupal7翻译
Tech My Life
09-11 8万+
drupal7英汉对照   "Home"   "首页"   "User interface"   "用户界面"   "Title"   "标题"   "Body"   "正文"   "Next"   "下一个"   "user"   "用户"   "Pages"   "页面"   "Save configuration"   "保存设置"   "Reset to
PHP伪造来源HTTP_REFERER的方法实例详解
10-23
主要介绍了PHP伪造来源HTTP_REFERER的方法,以实例形式较为详细的分析了php伪造来源HTTP_REFERER的技巧与相关注意事项,非常具有实用价值,需要的朋友可以参考下
ASP外观专利图像检索平台(源代码+论文).rar
07-21
ASP外观专利图像检索平台(源代码+论文)
C++课程设计:电煤气管理系统【源码+文档】
07-21
C++课程设计:电煤气管理系统【源码+文档】 本程序是一个水电气管理信息系统,能够对高校的水电气费用进行管理, 包括了成员的基本信息,如学号、编号、姓名、成员水电气的用量等。程序的用途包括缴纳水电气费、查询一个同学水电气费用量、查看所有同学的缴费情况、增加学生信息、删除学生信息、退出系统等。在设计时也考虑到学生和教师在用水电气时的不同,学生可以免费使用一定额度的水电气,超过这个额度的以后必须付费,且付费部分水电气费的价格要高于教工的收费标准,该措施的实行是为了鼓励同学们节约资源,以免造成不必要的资源浪费。该软件主要是为了学校的管理人员提供便捷,以更快的完成水电气费用的收缴。该软件本着简洁明了,实用稳定为一体进行设计。 系统将实现以下功能: (1)实现对用户信息的录入; (2)实现水电煤气数据的录入; (3)实现计算并查询用户应缴费用,查询未缴纳费用的名单; (4)实现对人员的删除和添加;
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT).rar
07-21
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT)
avaloniassification-mas笔记
最新发布
07-21
avalonia
ASP+ACCESS学生排课管理系统毕业设计(源代码+论文).rar
07-21
ASP+ACCESS学生排课管理系统毕业设计(源代码+论文)
ASP+ACCESS在线教育系统设计(源代码+论文).rar
07-21
ASP+ACCESS在线教育系统设计(源代码+论文)
HTTP_REFERER的xss
10-13
HTTP_REFERERHTTP协议中的一个请求头字段,用于标识请求来源页面的URL地址。在Web应用程序中,可以使用HTTP_REFERER来判断请求是否来自可信的来源页面,从而防止跨站点请求伪造(CSRF)攻击。但是,由于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值