3
Я хотел бы поместить ссылку на мой сайт в других «одобренных» доменах. Когда они нажимают на ссылку, она переходит на страницу, которая проверяет реферер ($ _SERVER ['HTTP_REFERRER']), чтобы убедиться, что они пришли из домена, который одобрен для моей ссылки. Это может быть подделано, так как я могу убедиться, что клики действительно поступают из одобренных доменов?PHP referrer: Как убедиться, что запрос действительно исходит от того, откуда он должен прибыть из
Действительно, писал о том же. Аффилированные лица и т. Д. Обычно решают это, отскакивая назад и вперед, устанавливая некоторые файлы cookie и получая параметры в URL-адресе, который они могут проверить, и какой смысл не может быть легко взломан (хеши по URL-адресу и соли и тому подобное). – Wrikken
Генерация и валидация подписи будут аналогичны тому, что делает OAuth, - вы можете даже взглянуть на использование кода из библиотеки OAuth для этого. Убедитесь, что в URL-адресе есть параметр timestamp, который вы можете проверить, чтобы предотвратить повторное использование устаревших ссылок. Либо дайте достаточную свободу действий для проверки времени, когда люди нажимают ссылки через некоторое время после их загрузки, или делают ссылки на странице фактически перенаправлены на только что сгенерированный и подписанный URL-адрес, что дает вам возможность сократить время истечения срока действия. – Nick
Использование timestamp based nonce - хорошая стратегия, потому что вам не нужно хранить все ноты, которые вы когда-либо видели, чтобы отказать им в будущем. Вы можете хранить только те, которые видны, например, последние говорят 3 часа и отвергают все, что старше. Если вы можете жить с некоторыми повторными токенами в небольшой промежуток времени, вы даже не можете ничего хранить. – Artefacto