가정 해 봅시다. 사용자가 index.php 파일에만 액세스 할 수있게하려고합니다. 또한 www.mydomain.com/aboutus.php 파일과 같은 다른 파일이 있으며 사용자가 주소 표시 줄에이 파일을 입력하면 사용자가 액세스 할 수 있습니다. 사용자가 www.mydomain.com에만 액세스 할 수있게하려고합니다.서버가 서버로 연결되어 있는지 확인하십시오.
이러한 보안 기능은 어떻게 구성되어 있습니까?
귀하가 색인/루트 문서 (www.mydomain.com/index.php 등)에 액세스 할 수 있고 www.mydomain을 입력 할 수 없도록하고 싶다고 올바르게 이해하는 경우. co.kr/aboutus.php HTTP 리퍼러를 사용하여 HTTP 리퍼러를 사용하여 페이지가 올바른지 확인하는 것이 매우 간단합니다.
$ _SERVER 유형 변수는 클라이언트가 위조하기 쉽습니다 cURL 또는 telnet과 같은 것으로부터 시작하여 CSRF 유형 공격의 기초가 될 수 있으므로 세션 토큰 화와 같은 안전한 구현과는 아무런 관련이 없습니다. 맨 위에
aboutus.php는 (?)
<?php
// Put the url they came from
$ref = $_SERVER['HTTP_REFERER'];
if($ref !== 'http://mydomain.com/index.php') {
die("Must come here from index");
// uncomment below to redirect them automatically
// header('location: index.php');
}
// Otherwise they came from index so show the page.
echo "Displaying about page:";
echo $content;
?>
답해 주셔서 감사합니다. – user2178841
이것은 실제로 안전하지 않습니다. 리퍼러는 클라이언트 측에서 자유롭게 스푸핑 될 수 있습니다. –
@ 페카 미소 - 귀하의 우려를 이해합니다. 위와 같은 것을 통합하지만이 유즈 케이스에 대한 $ _SESSION 토큰 기반 전략을 사용하여 새로운 답변을 편집/수정하거나 게시 할 수 있습니까? 이 문제를 해결하기 위해 내 답변을 수정하려고 주위를 둘러 보았지만 완벽하지는 않습니다. – cerd
당신은 로그인 토큰하거나 세션/권한 쿠키를 찾고 있습니다. – mario
무엇을 묻고 있습니까? lol –
@mario 로그인 토큰이나 세션 권한에 대한 세부 사항을 모르겠습니다. 나는 단지 세션/허가 쿠키를 추측한다. 그러나 두 가지 설명 모두를 고맙게 생각합니다. (로그인 토큰은 사용자 권한 등을 의미합니다.) – user2178841