Как закрыть страницу благодарности от прямых заходов?

Question

[Анна]

Как сделать, чтобы пользователь, который заполнил контактную форму, не смог потом скопировать эту ссылку и зайти на страницу благодарности по прямой ссылке?

<?php
if (isset($_POST['contactFF'])) {
    $to = "мойсайт@почта.ру"; // поменять на свой электронный адрес
    $from = $_POST['contactFF'];
    $subject = "Заполнена контактная форма с " . $_SERVER['HTTP_REFERER'];
    $message = "Имя: " . $_POST['nameFF'] . "\nEmail: " . $from . "\nIP: " . $_SERVER['REMOTE_ADDR'] . "\nСообщение: " . $_POST['messageFF'];
    $boundary = md5(date('r', time()));
    $filesize = '';
    $headers = "MIME-Version: 1.0\r\n";
    $headers .= "From: " . $from . "\r\n";
    $headers .= "Reply-To: " . $from . "\r\n";
    $headers .= "Content-Type: multipart/mixed; boundary=\"$boundary\"\r\n";
    $message = "
Content-Type: multipart/mixed; boundary=\"$boundary\"

--$boundary
Content-Type: text/plain; charset=\"utf-8\"
Content-Transfer-Encoding: 7bit

$message";

    for ($i = 0; $i < count($_FILES['fileFF']['name']); $i++) {
        if (is_uploaded_file($_FILES['fileFF']['tmp_name'][$i])) {
            $attachment = chunk_split(base64_encode(file_get_contents($_FILES['fileFF']['tmp_name'][$i])));
            $filename = $_FILES['fileFF']['name'][$i];
            $filetype = $_FILES['fileFF']['type'][$i];
            $filesize = $_FILES['fileFF']['size'][$i];
            $message .= "

--$boundary
Content-Type: \"$filetype\"; name=\"$filename\"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=\"$filename\"

$attachment";
        }
    }
    $message .= "
--$boundary--";

    if ($filesize < 10000000) { // проверка на общий размер всех файлов. Многие почтовые сервисы не принимают вложения больше 10 МБ
        mail($to, $subject, $message, $headers);
        // Перенаправление на страницу благодарности
        header('Location:страница-благодарности.php');
        exit;
    } else {
        echo 'Извините, письмо не отправлено. Размер всех файлов превышает 10 МБ.';
    }
}

// Проверка реферера
if (!isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'], 'https://мой сайт.ru') === false) {
    header('Location: https://мойсайт.ru'); // Перенаправление на страницу формы
    exit;
}
?>

document.getElementById('feedback-form').addEventListener('submit', function(evt) {
    var http = new XMLHttpRequest(), f = this;
    evt.preventDefault();
    http.open("POST", "файл-с-кодом-обработчика-формы.php", true);
    http.onreadystatechange = function() {
        if (http.readyState == 4) {
            if (http.status == 200) {
                // Успешный ответ. Перенаправляем пользователя.
                window.location.href = 'https://мойсайт.ru/страница-благодарности.php';
            } else {
                alert('Извините, произошла ошибка при отправке данных.');
            }
        }
    };
    http.onerror = function() {
        alert('Извините, данные не были переданы');
    };
    http.send(new FormData(f));
}, false);

Comments

[Алексей Уколов]

Для начала расскажите, зачем вы хотите её закрыть. Можно что-то накостылять, конечно, чтобы страница не открывалась второй раз, но лучше решать реальную проблему (просто повтороное открытие страницы - это обычно не проблема).

[Анна]

Алексей Уколов, Я хочу ее закрыть, так как планирую запускать Директ.
Рекомендуют в качестве цели в Директе выбирать не просто отправку формы, а именно посещение страницы благодарности.
Я поняла так: Директ считает конверсией нажатие на кнопку "отправить форму", код этой кнопки првязан к Метрике.
То есть рекламу можно скликать - кто-то зайдет и будет нажимать на кнопку, а Директ будет считать просто нажатие на кнопку - конверсией. То же самое касается перехода в мессенджер - человек перейдет в ватсап и ничего не напишет, а за конверсию Директ оплату спишет.
Для этого рекомендуют назначать в качестве цели - посещение страницы благодарности, так как на нее пользователь может попасть только после отправки формы.
А если ее не закрыть от прямого захода, то конкуренты будут на нее заходить бесконечно, скликивая наш бюджет.

[Алексей Уколов]

Тогда вариант с одноразовым хэшем, который предложил Dmitry Bay, самый адекватный.

[Анна]

Алексей Уколов, Спасибо) Если не секрет, где можно почитать простое руководство, как это сделать?
Искала, конечно, сейчас, но не нашла понятных инструкций)

[Ипатьев]

А что будет мешать конкурентам отправлять форму - заодно и спамя её при этом?

[Сергей delphinpro]

Ипатьев, спам-фильтр плюс ограничение частоты отправки формы с одного айпи

[Анна]

Сергей delphinpro, Спасибо! Как раз стоит подумать над защитой формы)

[alekssamos]

Можно сделать через сессию
session_start();
При отправке (в "мой скрипт" ) сделать $_SESSION["thankyou"]="ok";
А при заходе на страницу благодарности проверять это значение

if(@$_SESSION["thankyou"]!="ok") {
header("Location: /"); exit();
}$_SESSION["thankyou"]="not_ok"

[Анна]

alekssamos, Спасибо большое, Вы меня спасли!
Сделала с помощью сессии.

В файле thank_you.php:

session_start(); // Начинаем сессию

// Проверяем, отправлял ли пользователь данные через форму
if (!isset($_SESSION['form_submitted']) || $_SESSION['form_submitted'] !== true) {
    // Если форма не была отправлена, перенаправляем на предыдущую страницу
    header("Location: https://мой-сайт.ru" . $_SERVER['HTTP_REFERER']);
    exit();
}

// Если форма была отправлена, выводим сообщение
echo "Спасибо! Мы получили вашу заявку.";

// Удаляем сессионную переменную, чтобы предотвратить повторный доступ
unset($_SESSION['form_submitted']);

и в файле обработчика формы добавила антиспам-защиту:
пользователь может повторно отправить форму только после того, как с его последней отправки прошел 1 час

session_start(); // Начинаем сессию

// Устанавливаем время ожидания в секундах (1 час = 3600 секунд)
$time_limit = 3600;

if (isset($_POST['contactFF'])) {
    // Проверяем, прошел ли 1 час с последней отправки
    if (isset($_SESSION['last_submission_time']) && (time() - $_SESSION['last_submission_time'] < $time_limit)) {
        echo 'Вы можете отправить форму только через 1 час после последней отправки.';
        exit();
    }

Только вот есть проблема:
После того, как отправляешь форму еще раз, алерта нет, а сообщение - на вкус браузера:

Answer 1

[Dmitry Bay]

1) Получать с сервера ссылку, а не подставляя ее в js.
2) Записывать куда то определенный hash на открытие страницы
https://мойсайт.ru/страница-благодарности.php?hash=123 и потом гасить его, чтобы человек не мог повторно открыть страницу.

Возможно просто рендер страницы благодарности вместо формы отрисовать после события успешной отправки формы.

Comments

[Анна]

Спасибо большое!
Буду искать, как это реализовать.
Подскажите, пожалуйста, есть ли инструкция, как это сделать?
Понимаю наивность поиска шаблонного решения))
Но все-таки, может быть, у Вас есть ссылка на материал, где подробно описаны особенности этого метода?

[tukreb]

Анна, самое элементарное, храните hash в базе. После по этому hash пускаете на нужную ссылку типа https://url.ru/dgj35y6djfgn как кто-то зашёл и (ВАЖНО), сайт полностью прогрузился, сразу же удаляете этот hash.

Answer 2

[alexalexes]

Поставьте проверку реферера на той странице, где хотите закрыть.