php获取referer防非法访问

面是我下载页面down.php 的php代码 现在我发现,用迅雷,谷歌浏览器直接打开,就能输出下载文件,一点不起防盗链作用。 现在我想,只允许在我自己站上连接过来的可以直接使用,别的的站过来的,和直接输入这个地址的,跳转到copy.htm页上去。

PHP中的 $_SERVER["HTTP_REFERER"] 预定义服务器变量可以判断来路。
$_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址。
一般用于判断浏览者是从哪里点击链接跳到本页面的,即所说的来路,还可以通过判断来路来防止盗链。
例如:

<?php

$url_array = parse_url($_SESSION['HTTP_REFERER']);
//如果页面的域名不是服务器域名,就连接到登陆窗口
if($_SERVER['HTTP_HOST'] != $url_array["host"]) {
header("location: login.php");
exit;
} 

?>

相关代码

近期有个项目需要用到防止用户非法访问某json页面,基础解决方法就是判断来路来限制非调用访问:

$_SERVER[‘HTTP_REFERER']:来路链接,可能带尾巴(如:http://www.httple.net/iwork/20.html),可以通过php内置函数parse_url()来获取到当前网址(www.httple.net),即:

$refererUrl = parse_url($_SERVER[‘HTTP_REFERER']);

$host = $refererUrl[‘host'];

$host的值即为来路的网址(www.httple.net)。

获取到了来路的网址之后,我们就可以通过这个网址来限制访问该页面的权限了。代码如下:

if(!isset($_SERVER[‘HTTP_REFERER']) || $referurl[‘host'] !=”www.httple.net”) {
header(“location: /”); //如果没有来路,或者来路不是本站,跳转到首页。
exit;
}

把这行代码放到json数据页面的最上方,就能简单解决该问题。

该处理方法的缺陷:可通过伪造来路获取到该页面的正常数据。

相关代码

获取来路Url 的方法,主要用到服务器变量中HTTP_REFERER函数的使用,代码贴上:

function get_referer(){
$url = $_SERVER["HTTP_REFERER"]; //获取完整的来路URL
$str = str_replace("http://","",$url); //去掉http://
$strdomain = explode("/",$str); // 以“/”分开成数组
$domain = $strdomain[0]; //取第一个“/”以前的字符
return $domain;
}   

//对于百度、谷歌搜索引擎来路判断
function get_seo(){
$s = 0;
if(strstr(get_referer(),'baidu.com')){
$s = 1;
}
else if(strstr(get_referer(),'google.com.hk')){
$s = 1;
}
return $se;
}

php网站 获取来路Url 的方法,主要用到服务器变量中HTTP_REFERER函数的使用,代码贴上:

function get_referer(){
$url = $_SERVER["HTTP_REFERER"]; //获取完整的来路URL
$str = str_replace(“http://”,””,$url); //去掉http://
$strdomain = explode(“/”,$str); // 以“/”分开成数组
$domain = $strdomain[0]; //取第一个“/”以前的字符
return $domain;
}

//对于百度、谷歌搜索引擎来路判断
function get_seo(){
$s = 0;
if(strstr(get_referer(),'baidu.com')){
$s = 1;
}
else if(strstr(get_referer(),'google.com.hk')){
$s = 1;
}
return $se;
}

在处理一个表单的时候,不得不考虑到用户静态提交的可能,discuz 已经根据formhash来判断

这里我用另一种方式来处理 判断页面来路,当然这种方法也能够被伪造HTTP_REFERER来路

第二部分是解决了 PHP中header('location:  跳转页面后 下一页无法获取HTTP_REFERER,这里只能在页面加个链接 然后用js 模拟点击链接,这样下一页肯定会收到HTTP_REFERER的。Keyword:document.getElementById('gourl').click();

到此这篇关于php获取referer防非法访问的文章就介绍到这了,更多相关php放置非法访问内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • PHP利用REFERER根居访问来地址进行页面跳转

    比如,我有一个开发一个黄页源码上转到了我们.之前定了一个演示程序地址: http://www.jb51.net 而现在这个域名需要用来作其它的站,又不杀望原来的演示地址失效怎么办呢.那我就可以利用PHP  REFERER来判断来源如果它是自至站长下载站的地址 我就把它己转移站点域名上. 我就是在http://www.jb51.net这个站点上的index.php里放置了如下的代码让其来源于 files.jb51.net 的访问定位到我的服务器常用软件下载 http://s.jb51.net 大家

  • php中HTTP_REFERER函数用法实例

    本文实例分析了php中HTTP_REFERER函数用法.分享给大家供大家参考.具体分析如下: 利用php的http_referer函数来判断用户的来路,这是比较简单的,实例代码如下: 复制代码 代码如下: <?php    if (isset($_SERVER['HTTP_REFERER'])) {      print "The page you were on previously was {$_SERVER['HTTP_REFERER']}<br />";   

  • php中XMLHttpRequest(Ajax)不能设置自定义的Referer的解决方法

    解决方法: 使用服务器作为代理. 在PHP中, 使用我最喜欢的最强大的CURL,嘿嘿 下面是在万网查询域名的实例代码 复制代码 代码如下: <?php $dn = $_GET['dn']; // 域名, 不包括www $ex = $_GET['ex']; // 顶级域名, 如 .com, .cn, 包括最前面的. // 查询域名是否已经注册 $url = 'http://pandavip.www.net.cn/check/check_ac1.cgi'; $ch = curl_init($url)

  • php 伪造HTTP_REFERER页面URL来源的三种方法

    php获取当前页面的前一个页面URL地址,即当前页面是从哪个页面链接过来的,可以使用$_SERVER['HTTP_REFERER'],但是这个来源页面的URL地址是可以被伪造和欺骗的,本文章向大家介绍伪造HTTP_REFERER页面URL的三种方法,需要的朋友可以参考一下. $_SERVER['HTTP_REFERER']是php用来判断页面上级来源页面的一个超级变局变量了,我们可以使用$_SERVER['HTTP_REFERER']来判断是从哪个页面进入到此页面了,这样我们可以进行更好的跟踪了

  • 使用php伪造referer的方法 利用referer防止图片盗链

    使用php伪造referer的方法 利用referer防止图片盗链

    什么是HTTP Referer简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理.比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站.Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人也就将错就错了.我的问题我刚刚把feed阅读器改变为Grega

  • php中突破基于HTTP_REFERER的防盗链措施(stream_context_create)

    那么如果考虑突破防盗链的措施,就需要考虑在 HTTP_REFERER 上面做手脚了.PHP 脚本中对应的变量是 $_SERVER['HTTP_REFERER'] ,它存储了 HTTP_REFERER 的值. 由于直接访问目标 URL 资源已经被上述防盗链的措施给屏蔽,所以我们需要个类似网关的玩意去获取.说白了就是编写已经包装过的 HTTP 头的 PHP 脚本. 下面是简单的函数实现: 复制代码 代码如下: function getRemoteFile($url, $refer = '') { $

  • PHP伪造来源HTTP_REFERER的方法实例详解

    本文实例讲述了PHP伪造来源HTTP_REFERER的方法.分享给大家供大家参考.具体分析如下: 如今网络上十分流行论坛自动发帖机,自动顶贴机等,给众多论坛网站带来了大量的垃圾信息,许多网站只是简单地采用了判断HTTP_REFERER的值来进行过滤机器发帖,可是网页的HTTP_REFERER来路信息是可以被伪造的.任何事物都是双面刃,只要你善于利用就有其存在价值. 很早以前,下载软件如Flashget,迅雷等都可以伪造来路信息了,而这些软件的伪造HTTP_REFERER大多是基于底层的sock来

  • 详解php伪造Referer请求反盗链资源

    有些产品为了防止自己的产品被盗链访问,会采用反盗链措施,如封闭型生态的音乐网站和视频网站,他们已经为了版权付费,自然不希望你免费使用他们的资源.但因为很多人专门研究盗链,因此我们也需要了解下盗链.反盗链和逃避反盗链的原理. 盗链 引用百度百科对盗链的定义: 盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率.受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何

  • php获取referer防非法访问

    面是我下载页面down.php 的php代码 现在我发现,用迅雷,谷歌浏览器直接打开,就能输出下载文件,一点不起防盗链作用. 现在我想,只允许在我自己站上连接过来的可以直接使用,别的的站过来的,和直接输入这个地址的,跳转到copy.htm页上去. PHP中的 $_SERVER["HTTP_REFERER"] 预定义服务器变量可以判断来路. $_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址. 一般用于判断

  • laravel利用中间件做防非法登录和权限控制示例

    laravel框架的中间件非常好用,使得我们的防非法和rbac可以简单快速的实现 中间件就是控制路由的访问,进行分类并统一管理 1.首先我们打开artisan输入下面的命令行,创建一个中间件文件 php artisan make:middleware AdminLogin 执行命令后我们会发现Middleware文件夹会多出一个AdminLogin文件 2.然后我们打开kernel.php,将这个中间件加入到路由中间件中 protected $routeMiddleware = [ 'auth'

  • php实现获取及设置用户访问页面语言类

    本文实例讲述了php实现获取及设置用户访问页面语言类,分享给大家供大家参考.具体分析如下: 该实例User Language Class 获取/设置用户访问的页面语言,如果用户没有设置访问语言,则读取Accept-Language.根据用户选择的语言显示对应的页面(英文,简体中文,繁体中文) UserLang.class.php类文件如下: <?php /** User Language Class 获取/设置用户访问的页面语言,如果用户没有设置访问语言,则读取Accept-Language *

  • yii2.0框架使用 beforeAction 防非法登陆的方法分析

    本文实例讲述了yii2.0框架使用 beforeAction 防非法登陆的方法.分享给大家供大家参考,具体如下: beforeAction基本原理: 对比 1.执行顺序 init > beforeAction 2.调用子函数时,两个函数都不会再次执行 3.返回值 init返回false继续执行,beforeAction停止执行 4.执行EXIT,全部停止 从框架的示例代码来看,init用于初始化数据,beforeAction用户事件的处理 代码 // 登录统一验证 public function

  • IE下通过a实现location.href 获取referer的值

    最近,公司网站需要统计用户都是从哪些页面进入到注册页面的数据.开始,仅仅简单的通过在服务器端$ _SERVER['HTTP_REFERER'](php)来获取.但是,发现有好多注册用户没有referer值,后来查了一下在IE下采用window.location.href方式跳转的话,referer值为空.而在标签<a></a>里面的跳转的话referer就不会空.所以,通过一下代码就可以解决这个IE问题: function gotoUrl(url){ if(document.all

  • java实现非法访问异常示例

    java实现非法访问异常示例

    思路分析: 首先使用Class获得一个代表String类的类对象,然后使用Class类的getDeclaredFields()方法获得所有成员变量,并赋值给一个Field型数组,即得到String类的所有域.使用foreach()循环遍历所有域,使用Field类的getName()方法获得该成员变量的名称,如果域的名字是hash,尝试使用Field类的getInt(Object obj)方法获得指定对象中类型为int的该成员变量的值.依次捕获IllegalArgumentException异常和

  • 使用Django和Flask获取访问来源referrer

    使用Django和Flask获取访问来源referrer

    Flask request.referrer # 来路 request.headers.get('User-Agent') # 请求头 Django request.META['HTTP_REFERER'] # 来路 request.META.get("HTTP_USER_AGENT") # 请求头 补充:flask 重定向到上一个页面,referrer.next参数 -- >重定向会上一个页面 在某些场景下,我们需要在用户访问某个url后重定向会上一个页面,比如用户点击某个需要

  • Nginx禁止ip访问或非法域名访问

    在生产环境中,为了网站的安全访问,需要Nginx禁止一些非法访问,如恶意域名解析,直接使用IP访问网站.下面记录一些常用的配置示例: 1)禁止IP访问 如果没有匹配上server name就会找default默认,返回501错误. server { listen 80 default_server; server_name _; return 501; } 2)通过301跳转到主页 server { listen 80 default_server; server_name _; rewrite

随机推荐