PHP, как не принимать get запрос с чужих сайтов?

Question

[FreeZa]

Доброго времени суток, вопрос думаю и так понятен, есть скрипт который принимает параметру через GET запрос, например test.ru/script.php

нужно сделать так чтобы запрос отправленный с сайта
user.ru не обрабатывался вообще, только с test.ru

Подскажите куда копать, за наглядный пример кода буду очень благодарен!

Comments

[Denis Morozov]

отмотайте на шаг или несколько шагов назад и расскажите какую задачу/проблему изначально вы решаете

Answer 1

[Артем Наливайко]

Можно узнать а зачем вообще нужно решить подобную задачу ?

Объясню почему спрашиваю - Если нужно сделать CSRF то лучше использовать токены (CSRF tokens) .
Защита от CSRF

Comments

[sim3x]

+ http only cookie

Answer 2

[Микола]

Может, так?
В скрипте пропишите:
header('Access-Control-Allow-Origin: test.ru);
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');

Answer 3

[cloud-habr]

$prov = getenv('HTTP_REFERER');//определяем страницу с который пришел запрос
		$prov = str_replace("www.","",$prov);//удаляем www если есть
		preg_match("/(http\:\/\/[-a-z0-9_.]+\/)/",$prov,$prov_pm);
//чистим адресс от лишнего, нам необходимо добиться ссылки вот такого вида http://xxxx.ru
		$prov = $prov_pm[1];//заносим чистый адрес в отдельную переменную
		$server_root = str_replace("www.","",$server_root);//удаляем www если есть

		if($server_root == $prov)
//если адрес нашего блога и адрес страницы с которой был прислан зарос равны

Comments

[Дима Барсуков]

Http-referer Это заголовок, который можно подменить или вообще не передавать.

[Сергей Протько]

@darkgool все можно подменить, вплоть до IP адреса отправителя IP-пакета.

[cloud-habr]

согласен, но в суме с другими защитами даже элементарной проверкой сесии в скрытом поле это уже чтото

Answer 4

[Дима Барсуков]

Это невозможно сделать. Можно проверять http-referer у агента, но его легко подменить.

Answer 5

[Push Pull]

Хм, ок, если нужно только с сайта то просто по IP. Разрешенные - сам сайт, все остальные прочь.
Но тогда ни один пользователь у вас не сможет работать через GET

Comments

[FreeZa]

Такой вариант естественно не подходит =(

Answer 6

[Сергей Протько]

Если запрос к скрипту осуществляется через JS, можно добавлять дополнительные заголовки. Но это не 100% гарантия. Да и нету таких способов, которые бы дали 100% ую гарантию защиты от подобного.

Answer 7

[Кирилл]

эмм, я в php не силен, но, помню что в юзер агенте предается адрес сайта с которого ты пришел можно проверять адрес сайта с которого ты пришел. и если с него не нужно принимать get, тогда допустим обнулять все переменные, которые можно по get передать.