限制一个PHP脚本执行到一个引用

Question

我正在构建一个ajax/PHP脚本，我想出了一些方法来保护外部访问的ajax文件，我的意思是限制脚本的执行从另一个服务器（和域）。我正在使用JQuery $ajax发布到PHP文件。

这里是PHP文件：

<?php 
$config["url"]="mysite.com"; 
if (isset($_SERVER["HTTP_REFERER"])) { 
    $url = parse_url($_SERVER["HTTP_REFERER"]); 

    if ($url["host"] != $config["url"]) { 
     echo "You don't have access to this file."; 
     exit; 
    } else { 
     //Run The script 
    } 
} 
?> 

基本上这是什么脚本做的是，它引用站点和域相匹配。如果脚本不匹配，该脚本将退出，如果有脚本则会运行。所以脚本只能从mysite.com执行，而不能从别处执行。

我不是PHP/Javascript专家，所以任何人都可以告诉我这是好还是不好，以及它在某些情况下会失败？

Answer 1

此脚本正在防范什么是跨站请求伪造或CSRF。检查引用者是防止这种攻击的两个主要防御措施之一。唯一的问题是如果网站有任何用户生成的内容，那么他​​们可以添加一些诸如：

<img src="/src/to/your/ajax?params=something_evil" /> 

将仍然执行它。 第二种最常见的预防方法是使用ajax的CSRF令牌。 这里有两个资源，阅读了关于找到更多关于这种攻击：

说明：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF）

预防：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

编辑：

有点澄清可能会清除关于这个问题的困惑。

任何用户都可以伪造引用者标题，但这是无关紧要的。无关紧要的原因是，如果他们能够伪造引荐人，他们可以轻而易举地提出合理的要求。

这里的重要部分是确保他们不能伪造来自任何其他用户的请求。这是唯一重要的方面，也是检查引荐者和防止CSRF攻击的唯一原因。

Answer 2

AJAX通过同源策略已经具有基于浏览器的保护。根本不需要引用检查。

Answer 3

您还可以使用.htaccess文件阻止任何外部主机的访问。

<Files ~ "^\yourajaxfilename.extension"> 
Order allow,deny 
Deny from all 
</Files> 

详情http://www.htpasswdgenerator.com/apache/htaccess.html

Answer 4

请记住，人们可以在浏览器中加载一个页面，然后使用内置于大多数浏览器的JavaScript控制台来加载你的Ajax网页，提供任何GET/POST数据，他们想。还有其他方法来伪造引荐来源。

基本上，您的方法可以针对非技术用户，但您仍然需要验证所有传入数据以确保它不会导致您的脚本执行某些您不想要的操作。