Как разрешить POST запрос только для определенного домена?

Question

[Дарт Вейдер]

Здравствуйте. Мне нужно разрешить обработку POST запроса, но только для определенного домена. Я сделал вот так, все работает, но является ли это правильным? Могут ли как-то подменить при запросе $_SERVER['HTTP_REFERER']?

if ($_SERVER['HTTP_REFERER'] == 'http://site.ru/'){
    echo 'ок';
} else {
    echo 'Доступ закрыт';
}

Answer 1

[DevMan]

на заголовок HTTP_REFERER полагаться нельзя: его может вообще не быть, его легко подделать и все такое.

Comments

[Дарт Вейдер]

Спасибо, тогда буду делать иначе

Answer 2

[Urvin]

Вам не это ли нужно?

$this->response->setHeader('X-Frame-Options', 'DENY');
$this->response->setHeader('X-Frame-Options', 'SAMEORIGIN');